SlowMist обратил внимание на новую фишинговую аферу, нацеленную на пользователей криптовалют. Мошенники маскируются под поддельные встречи в Zoom, чтобы распространять вредоносное ПО, которое крадет конфиденциальные данные. Афера включает в себя поддельные ссылки Zoom, которые обманом заставляют жертв загружать вредоносные файлы, предназначенные дляtracкриптовалютных активов.
Согласно данным платформы безопасности блокчейна SlowMist, злоумышленники, стоящие за этой аферой, использовали сложную фишинговую технику, включающую домен, имитирующий легитимный домен Zoom. Фишинговый сайт «app[.]us4zoom[.]us» очень похож на интерфейс настоящего сайта Zoom.
⚠️Остерегайтесь фишинговых атак, замаскированных под ссылки на Zoom-конференции!🎣 Хакеры собирают данные пользователей и расшифровывают их, чтобы украсть конфиденциальную информацию, такую как мнемонические фразы и закрытые ключи. Эти атаки часто сочетают в себе методы социальной инженерии и троянские программы. Ознакомьтесь с нашим полным анализом⬇️… pic.twitter.com/kDExVZNUbv
— SlowMist (@SlowMist_Team) 27 декабря 2024 г
Жертвам предлагается нажать кнопку «Запустить собрание», ожидая, что это переведет их на сессию Zoom. Однако вместо открытия приложения Zoom кнопка запускает загрузку вредоносного файла под названием «ZoomApp_v.3.14.dmg»
Раскрыта уловка по запуску вредоносного ПО и краже данных
После загрузки вредоносный файл запускает скрипт, который запрашивает системный пароль пользователя. Скрипт выполняет скрытый исполняемый файл с именем «.ZoomApp», предназначенный для доступа и сбора конфиденциальной системной информации, включая файлы cookie браузера, данные KeyChain иdentданные криптовалютного кошелька.
По словам экспертов по безопасности, вредоносная программа специально разработана для атаки на пользователей криптовалют с целью кражи закрытых ключей и других важных данных кошелька. После установки загруженный пакет запустит скрипт под названием «ZoomApp.file»
При запуске скрипт запрашивает у пользователей ввод системного пароля, тем самым непреднамеренно предоставляя хакерам доступ к конфиденциальным данным.
После расшифровки данных компания SlowMist выяснила, что скрипт в конечном итоге выполняет osascript , который передает собранную информацию в бэкэнд-системы злоумышленников.
Компания SlowMist также trac создание фишингового сайта до 27 дней назад, подозревая причастность российских хакеров. Эти хакеры использовали API Telegram для мониторинга активности на фишинговом сайте, trac нибудь по ссылке для скачивания. Согласно анализу компании, хакеры начали атаковать жертв еще 14 ноября.
Украденные средства прошли через несколько бирж
trac в блокчейне Mist Trac для расследования перемещений украденных средств. Сообщается, что хакер, чей адрес dent как 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac, получил прибыль в криптовалюте на сумму более 1 миллиона долларов, включая USD0++, MORPHO и ETH.
В ходе детального анализа MistTracвыяснил, что хакеры обменяли USD0++ и MORPHO на 296 ETH.
Дальнейшее расследование показало, что на адрес хакера поступали небольшие переводы ETH с другого адреса, 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, который, по всей видимости, отвечал за предоставление комиссионных сборов для хакерской схемы.
Было установлено, что с этого адреса переводятся небольшие суммы ETH почти на 8800 других адресов, что позволяет предположить, что он может быть частью более крупной платформы, предназначенной для финансирования комиссионных сборов за незаконную деятельность.
После сбора украденных средств они были переведены через различные платформы. Среди бирж, получивших украденную криптовалюту, были Binance, Gate.io, Bybit и MEXC. Затем средства были консолидированы на другом адресе, а транзакции поступали на несколько бирж, включая FixedFloat и Binance. Там украденные средства конвертировались в Tether (USDT) и другие криптовалюты.
Преступникам, стоящим за этой схемой, удалось избежать прямого задержания, используя сложные методы отмывания и конвертации незаконно полученных средств в широко используемые криптовалюты. SlowMist предупредил криптоэнтузиастов, что фишинговый сайт и связанные с ним адреса могут и впредь атаковать ничего не подозревающих пользователей криптовалют.
