Автор | Реборн, Лиза

Редактор | Лиз

фон

В последнее время многие пользователи на В этом контексте команда безопасности SlowMist анализирует такие фишинговые инциденты и методы атак, а также отслеживает поток средств хакера.

Анализ фишинговых ссылок

Хакеры используют доменные имена в форме «app[.]us4zoom[.]us», чтобы замаскироваться под обычные ссылки на собрания Zoom. Когда пользователь нажимает кнопку «Начать собрание», страница очень похожа на настоящую встречу Zoom. это приведет к загрузке вредоносного установочного пакета. Незапускаемый локальный клиент Zoom.

Обнаружив указанное выше доменное имя, мы обнаружили адрес журнала мониторинга хакера (https[:]//app[.]us4zoom[.]us/error_log).

Расшифровка показала, что это запись в журнале, когда скрипт пытается отправить сообщение через Telegram API, а используемый язык — русский.

Расшифровка показала, что это запись в журнале, когда скрипт пытается отправить сообщение через Telegram API, а используемый язык — русский.

Сайт был развернут и запущен 27 дней назад. Хакеры могут быть россиянами и с 14 ноября ищут цели для совершения фишинговых атак, а затем отслеживают через API Telegram, нажимает ли какая-либо цель кнопку загрузки на фишинговой странице.

Анализ вредоносного ПО

Имя файла вредоносного установочного пакета — «ZoomApp_v.3.14.dmg». Ниже приведен интерфейс, открываемый фишинговым программным обеспечением Zoom, которое побуждает пользователей выполнить вредоносный сценарий ZoomApp.file в Терминале, а также побуждает пользователей ввести свой пароль. локальный пароль во время процесса выполнения.

Ниже приводится содержимое исполнения вредоносного файла:

Расшифровка приведенного выше контента показала, что это был вредоносный скрипт osascript.

Дальнейший анализ показал, что скрипт ищет скрытый исполняемый файл с именем «.ZoomApp» и запускает его локально. Мы выполнили анализ диска исходного установочного пакета «ZoomApp_v.3.14.dmg» и обнаружили, что установочный пакет действительно скрывал исполняемый файл с именем «.ZoomApp».

Дальнейший анализ показал, что скрипт ищет скрытый исполняемый файл с именем «.ZoomApp» и запускает его локально. Мы выполнили анализ диска исходного установочного пакета «ZoomApp_v.3.14.dmg» и обнаружили, что установочный пакет скрывал исполняемый файл с именем «.ZoomApp».

Анализ вредоносного поведения

статический анализ

Мы загрузили двоичный файл на платформу анализа угроз для анализа и обнаружили, что файл помечен как вредоносный.

https://www.virustotal.com/gui/file/e4b6285e183dd5e1c4e9eaf30cec886fd15293205e706855a48b30c890cbf5f2

На следующем рисунке с помощью статического анализа дизассемблирования показан код входа двоичного файла, который используется для расшифровки данных и выполнения сценария.

На рисунке ниже представлена ​​часть данных. Вы можете видеть, что большая часть информации зашифрована и закодирована.

После расшифровки данных было обнаружено, что двоичный файл также в конечном итоге выполнил вредоносный скрипт osascript (полный код расшифровки доступен по адресу: https://pastebin.com/qRYQ44xa). Этот скрипт будет собирать информацию об устройстве пользователя и использовать его. отправьте его на задний план.

Следующий рисунок представляет собой часть кода, который перечисляет информацию о различных путях идентификатора подключаемого модуля.

На рисунке ниже показана часть кода для чтения информации о цепочке ключей компьютера.

После того как вредоносный код соберет системную информацию, данные браузера, зашифрованные данные кошелька, данные Telegram, данные заметок Notes и данные файлов cookie, он сожмет и отправит их на сервер, контролируемый хакером (141.98.9.20).

Поскольку вредоносная программа при запуске побуждает пользователя ввести пароль, а последующий вредоносный скрипт также будет собирать данные KeyChain на компьютере (которые могут включать в себя различные пароли, сохраненные пользователем на компьютере), хакер попытается расшифровать данные после их сбора и получить мнемонические слова кошелька пользователя, закрытые ключи и другую конфиденциальную информацию, тем самым похищая активы пользователей.

Согласно анализу, IP-адрес хакерского сервера расположен в Нидерландах и помечен платформой анализа угроз как вредоносный.

https://www.virustotal.com/gui/ip-address/141.98.9.20

динамический анализ

Вредоносная программа динамически выполняется в виртуальной среде, и процесс анализируется. На рисунке ниже показана информация мониторинга процесса вредоносной программы, собирающая локальные данные и отправляющая данные в фоновый режим.

Анализ туманного трека

Мы использовали инструмент отслеживания цепочки MistTrack для анализа хакерского адреса 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac, предоставленного жертвой: хакерский адрес принес более 1 миллиона долларов прибыли, включая USD0++, MORPHO и ETH, среди которых USD0++ и MORPHO были обменены на 296; ЭТХ.

По данным MistTrack, на хакерский адрес поступило небольшое количество ETH, переведенное с адреса 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, который подозревается в взимании комиссии за обработку хакерского адреса. Источником дохода для этого адреса (0xb01c) является только один адрес, но он переводит небольшие суммы ETH почти на 8800 адресов. Похоже, это «платформа, специализирующаяся на предоставлении комиссий за обработку».

Адрес (0xb01c) был проверен на наличие адресов, помеченных как вредоносные в объекте перевода, и был связан с двумя фишинговыми адресами, один из которых был помечен как Pink Drainer. После тщательного анализа этих двух фишинговых адресов средства были переведены в ChangeNOW. и МЕКС.

После анализа перевода украденных средств на новый адрес 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95 было переведено в общей сложности 296,45 ETH.

Первая транзакция по новому адресу (0xdfe7) состоялась в июле 2023 года с участием нескольких цепочек, а текущий баланс составляет 32,81 ETH.

Основной путь передачи ETH нового адреса (0xdfe7) выглядит следующим образом:

200,79 ETH -> 0x19e0…5c98f

63.03 ETH -> 0x41a2…9c0b

8,44 ETH -> конвертировано в 15 720 USDT

14,39 ETH -> Gate.io

Последующие передачи вышеупомянутых расширенных адресов были связаны с несколькими платформами, такими как Bybit, Cryptomus.com, Swapspace, Gate.io, MEXC, а также с несколькими адресами, отмеченными MistTrack как Angel Drainer и Theft. В дополнение к этому, в настоящее время по адресу 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01 застряло 99,96 ETH.

Также имеется множество следов транзакций USDT по новому адресу (0xdfe7), которые были переведены на Binance, MEXC, FixFloat и другие платформы.

Подвести итог

На этот раз был представлен метод фишинга, заключающийся в том, что хакеры маскируются под обычные ссылки на собрания Zoom, чтобы побудить пользователей загрузить и запустить вредоносное ПО. Вредоносное ПО обычно выполняет несколько вредоносных функций, таких как сбор системной информации, кража данных браузера и получение информации о криптовалютном кошельке, а также передает данные на серверы, контролируемые хакерами. Этот тип атаки обычно сочетает в себе атаки социальной инженерии и методы атаки троянских коней, и пользователи станут их жертвами, если не будут осторожны. Команда безопасности SlowMist рекомендует пользователям тщательно проверять, прежде чем нажимать на ссылки на собрания, избегать запуска программного обеспечения и команд из неизвестных источников, устанавливать антивирусное программное обеспечение и регулярно его обновлять. Для получения дополнительных знаний о безопасности рекомендуется прочитать «Справочник по самоспасению Blockchain Dark Forest», созданный командой безопасности SlowMist: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main /README_CN.md.