SlowMist 提醒大家注意一种针对加密货币用户的新型网络钓鱼诈骗。该诈骗伪装成虚假的 Zoom 会议,散布恶意软件窃取敏感数据。它利用伪造的 Zoom 链接诱骗受害者下载恶意文件,这些恶意文件旨在trac加密货币资产。.
据区块链安全平台 SlowMist 称,此次诈骗背后的攻击者使用了一种复杂的网络钓鱼技术,其使用的域名模仿了 Zoom 的合法域名。该钓鱼网站“app[.]us4zoom[.]us”的界面与 Zoom 的官方网站非常相似。.
⚠️警惕伪装成 Zoom 会议链接的网络钓鱼攻击!🎣 黑客会收集用户数据并对其进行解密,以窃取助记词和私钥等敏感信息。这些攻击通常会结合社会工程学和木马技术。阅读我们的完整分析⬇️… pic.twitter.com/kDExVZNUbv
— SlowMist (@SlowMist_Team) 2024年12月27日
受害者会被提示点击“启动会议”按钮,他们以为点击后会进入 Zoom 会议。然而,该按钮并不会打开 Zoom 应用程序,而是会启动一个名为“ZoomApp_v.3.14.dmg”的恶意文件的下载。
恶意软件执行和数据窃取阴谋被揭露
恶意文件下载后会触发一个脚本,该脚本会请求用户的系统密码。该脚本会执行一个名为“.ZoomApp”的隐藏可执行文件,该文件旨在访问和收集敏感的系统信息,包括浏览器 cookie、钥匙串数据和加密货币钱包dent。.
据安全专家称,该恶意软件专门针对加密货币用户,旨在窃取私钥和其他关键钱包数据。下载的软件包安装后,会运行一个名为“ZoomApp.file”的脚本。
脚本执行后会提示用户输入系统密码,使用户在不知不觉中将敏感数据拱手让给黑客。.
SlowMist 在解密数据后发现,该脚本最终会执行一个osascript ,将收集到的信息传输到攻击者的后端系统。
SlowMist 还trac到该钓鱼网站的创建时间是 27 天前,怀疑有俄罗斯黑客参与其中。这些黑客一直在使用 Telegram 的 API 监控该钓鱼网站上的活动,trac是否有人点击了下载链接。根据这家安全公司的分析,黑客早在 11 月 14 日就开始以受害者为目标。
被盗资金通过多家交易所转移。
SlowMist 使用链上trac工具 Mist Trac调查了被盗dent,黑客的地址(0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac)已获利超过 100 万美元的加密货币,包括 USD0++、MORPHO 和 ETH。
MistTrac详细分析显示,黑客地址已将 USD0++ 和 MORPHO 兑换为 296 ETH。.
进一步调查显示,黑客的地址从另一个地址 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e 接收小额 ETH 转账,该地址似乎负责为黑客的计划提供交易费。.
经查,该地址会向近 8800 个其他地址转移少量 ETH,这表明它可能是专门为非法活动支付交易费的更大平台的一部分。.
被盗资金被收集后,通过多个平台进行转移。 Binance、Gate.io、Bybit 和 MEXC 等交易所都接收了这些被盗加密货币。随后,这些资金被集中到一个不同的地址,并通过包括 FixedFloat 和 Binance在内的多家交易所进行交易。在那里,被盗资金被兑换成泰达币 (USDT) 和其他加密货币。.
策划这起骗局的犯罪分子利用复杂的洗钱手段,将非法所得成广泛使用的加密货币,从而成功逃脱了直接抓捕。SlowMist 警告加密货币爱好者,该钓鱼网站及其关联地址可能继续以毫无戒心的加密货币用户为目标。
