SlowMistは、仮想通貨ユーザーを狙った新たなフィッシング詐欺の存在を指摘しました。この詐欺は、偽のZoomミーティングを装い、機密データを盗むマルウェアを拡散します。偽のZoomリンクを悪用し、被害者を騙して悪意のあるファイルをダウンロードさせ、仮想通貨資産をtrac取ろうとします。.
ブロックチェーンセキュリティプラットフォームSlowMistによると、この詐欺の背後にいる攻撃者は、正規のZoomドメインを模倣したドメインを利用した高度なフィッシング手法を用いていました。フィッシングサイト「app[.]us4zoom[.]us」は、正規のZoomウェブサイトのインターフェースと非常によく似ています。.
⚠️Zoomミーティングリンクを装ったフィッシング攻撃にご注意ください!🎣 ハッカーはユーザーデータを収集し、それを復号化して、ニーモニックフレーズや秘密鍵などの機密情報を盗みます。これらの攻撃は、ソーシャルエンジニアリングとトロイの木馬の手法を組み合わせることがよくあります。分析の全文はこちらをご覧ください⬇️… pic.twitter.com/kDExVZNUbv
— スローミスト(@SlowMist_Team) 2024年12月27日
被害者は「ミーティングを開始」ボタンをクリックするよう促され、Zoomセッションにアクセスできると期待します。しかし、このボタンをクリックすると、Zoomアプリケーションが開くのではなく、「ZoomApp_v.3.14.dmg」という悪意のあるファイルのダウンロードが開始されます。
マルウェア実行とデータ窃盗の手口が明らかに
ダウンロードされると、悪意のあるファイルはユーザーのシステムパスワードを要求するスクリプトを起動します。このスクリプトは、「.ZoomApp」という隠し実行ファイルを実行します。この実行ファイルは、ブラウザのCookie、キーチェーンデータ、暗号通貨ウォレットの認証情報など、機密性の高いシステム情報にアクセスして収集するように設計されdent。.
セキュリティ専門家によると、このマルウェアは仮想通貨ユーザーを標的に特化しており、秘密鍵やその他の重要なウォレットデータを盗むことを目的としている。ダウンロードされたパッケージがインストールされると、「ZoomApp.file」と呼ばれるスクリプトが実行される。
実行されると、スクリプトはユーザーにシステムパスワードの入力を要求し、知らないうちにハッカーに機密データへのアクセスを与えてしまいます。.
SlowMist は、データを復号化した後、スクリプトが最終的にosascript、収集した情報を攻撃者のバックエンド システムに転送することを明らかにしました。
SlowMistは、フィッシングサイトの作成が27日前まで遡りtractracました。セキュリティ企業の分析によると、ハッカーは11月14日という早い時期に被害者を狙っていたとのことです。
盗まれた資金は複数の取引所を経由して移動した
SlowMistは、オンチェーンtracツール「Mist Trac k」を調査しました。ハッカーのアドレスdentと報告されています。
詳細な分析により、MistTrackは、ハッカーのアドレスがUSD0++とMORPHOを296 ETHに交換したことを明らかにしました。.
さらに調査を進めると、ハッカーのアドレスは別のアドレス 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e から少額の ETH 送金を受け取っていたことが判明しました。このアドレスは、ハッカーの計画に取引手数料を提供していると思われます。.
このアドレスは、他の約8,800のアドレスに少量のETHを転送していることが判明しており、違法行為の取引手数料の資金調達に特化した大規模なプラットフォームの一部である可能性があることを示唆している。.
盗まれた資金は集められると、様々なプラットフォームに送金されました。Binance、 Binance、Bybit、MEXCなどの取引所が盗まれた仮想通貨を受け取った後、資金は別のアドレスに集約され、FixedFloatや Binanceを含む複数の取引所に取引が流れ込みました。そこで盗まれた資金はTether(USDT)などの仮想通貨に換金されました。.
この計画の背後にいる犯罪者は、複雑な手法を用いて不正な利益を広く利用されている暗号通貨に換金することで、直接的な逮捕を逃れてきました。SlowMistは、フィッシングサイトと関連アドレスが、今後も疑うことを知らない暗号通貨ユーザーを標的にし続ける可能性があると、暗号通貨愛好家に警告しました。
