SlowMist ha attirato l'attenzione su una nuova truffa di phishing rivolta agli utenti di criptovalute. La truffa si maschera da finte riunioni Zoom per distribuire malware che ruba dati sensibili. Si tratta di link Zoom contraffatti che inducono le vittime a scaricare file dannosi volti atracasset di criptovaluta.
Secondo la piattaforma di sicurezza blockchain SlowMist, gli aggressori dietro la truffa hanno utilizzato una sofisticata tecnica di phishing che prevedeva un dominio che imitava il dominio Zoom legittimo. Il sito web di phishing, "app[.]us4zoom[.]us", è molto simile all'interfaccia del sito web Zoom originale.
⚠️Attenzione agli attacchi di phishing camuffati da link per riunioni Zoom!🎣 Gli hacker raccolgono i dati degli utenti e li decriptano per rubare informazioni sensibili come frasi mnemoniche e chiavi private. Questi attacchi spesso combinano tecniche di ingegneria sociale e trojan. Leggi la nostra analisi completa⬇️… pic.twitter.com/kDExVZNUbv
— SlowMist (@SlowMist_Team) 27 dicembre 2024
Alle vittime viene chiesto di cliccare sul pulsante "Avvia riunione", che si aspettano di essere indirizzate a una sessione Zoom. Tuttavia, invece di aprire l'applicazione Zoom, il pulsante avvia il download di un file dannoso denominato "ZoomApp_v.3.14.dmg"
Scoperto il piano di esecuzione di malware e furto di dati
Una volta scaricato, il file dannoso attiva uno script che richiede la password di sistema dell'utente. Lo script esegue un file eseguibile nascosto denominato ".ZoomApp", progettato per accedere e raccogliere informazioni di sistema sensibili, inclusi cookie del browser, dati KeyChain edentdel portafoglio di criptovalute.
Secondo gli esperti di sicurezza, il malware è specificamente progettato per colpire gli utenti di criptovalute, con l'intento di rubare chiavi private e altri dati cruciali del portafoglio. Il pacchetto scaricato, una volta installato, eseguirà uno script chiamato "ZoomApp.file"
Una volta eseguito, lo script chiede agli utenti di inserire la password di sistema, consentendo inconsapevolmente agli hacker di accedere a dati sensibili.
Dopo aver decrittografato i dati, SlowMist ha rivelato che lo script esegue in ultima analisi un osascript , che trasferisce le informazioni raccolte ai sistemi backend degli aggressori.
SlowMist ha anche fatto risalire trac creazione del sito di phishing a 27 giorni fa, sospettando il coinvolgimento di hacker russi. Questi hacker hanno utilizzato l'API di Telegram per monitorare l'attività sul sito di phishing, trac se qualcuno ha cliccato sul link per il download. Secondo l'analisi dell'azienda di sicurezza, gli hacker hanno iniziato a prendere di mira le vittime già dal 14 novembre.
I fondi rubati sono stati spostati attraverso diverse borse
strumento di trac on-chain Trac per indagare sui movimenti dei fondi rubati. L'indirizzo dell'hacker, dent come 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac, avrebbe fruttato oltre 1 milione di dollari in criptovalute, tra cui USD0++, MORPHO ed ETH.
In un'analisi dettagliata, MistTrack ha rivelato che l'indirizzo dell'hacker aveva scambiato USD0++ e MORPHO per 296 ETH.
Ulteriori indagini hanno dimostrato che l'indirizzo dell'hacker riceveva piccoli trasferimenti ETH da un altro indirizzo, 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, che sembrava essere responsabile delle commissioni di transazione per il piano dell'hacker.
È stato scoperto che l'indirizzo trasferisce piccole quantità di ETH a circa 8.800 altri indirizzi, il che suggerisce che potrebbe far parte di una piattaforma più ampia dedicata al finanziamento delle commissioni di transazione per attività illecite.
Una volta raccolti, i fondi rubati sono stati incanalati attraverso diverse piattaforme. Binance, Gate.io, Bybit e MEXC sono stati tra gli exchange che hanno ricevuto la criptovaluta rubata. I fondi sono stati quindi consolidati in un indirizzo diverso, con transazioni che hanno interessato diversi exchange, tra cui FixedFloat e Binance. Lì, i fondi rubati sono stati convertiti in Tether (USDT) e altre criptovalute.
I criminali dietro questo schema sono riusciti a sfuggire alla cattura diretta utilizzando metodi complessi per riciclare e convertire i loro guadagni illeciti in criptovalute ampiamente utilizzate. SlowMist ha avvertito gli appassionati di criptovalute che il sito di phishing e gli indirizzi associati potrebbero continuare a prendere di mira ignari utenti di criptovalute.
