Cointime

Cointime

Download App
iOS & Android

Xem là không tin | Phân tích lừa đảo cuộc họp Zoom giả

Validated Project

Tác giả | Tái sinh, Lisa

Biên tập viên Liz |

lý lịch

Gần đây, nhiều người dùng trên Trong bối cảnh này, nhóm bảo mật SlowMist sẽ phân tích các sự cố lừa đảo và phương thức tấn công như vậy, đồng thời theo dõi dòng tiền của tin tặc.

Phân tích liên kết lừa đảo

Tin tặc sử dụng tên miền dưới dạng "app[.]us4zoom[.]us" để ngụy trang thành các liên kết cuộc họp Zoom thông thường. Trang này rất giống với cuộc họp Zoom thực. Khi người dùng nhấp vào nút "Bắt đầu cuộc họp", trang này rất giống với cuộc họp Zoom thực. nó sẽ kích hoạt tải xuống gói cài đặt độc hại. Máy khách Zoom cục bộ không khởi động.

Bằng cách phát hiện tên miền trên, chúng tôi đã phát hiện ra địa chỉ nhật ký giám sát của hacker (https[:]//app[.]us4zoom[.]us/error_log).

Quá trình giải mã tiết lộ rằng đây là một mục nhật ký khi tập lệnh cố gắng gửi tin nhắn thông qua API Telegram và ngôn ngữ được sử dụng là tiếng Nga.

Quá trình giải mã tiết lộ rằng đây là một mục nhật ký khi tập lệnh cố gắng gửi tin nhắn thông qua API Telegram và ngôn ngữ được sử dụng là tiếng Nga.

Trang web này đã được triển khai và ra mắt cách đây 27 ngày. Tin tặc có thể là người Nga và đã tìm kiếm mục tiêu để thực hiện các vụ lừa đảo kể từ ngày 14 tháng 11, sau đó theo dõi thông qua API Telegram xem có mục tiêu nào nhấp vào nút tải xuống của trang lừa đảo hay không.

Phân tích phần mềm độc hại

Tên tệp của gói cài đặt độc hại là "ZoomApp_v.3.14.dmg". Sau đây là giao diện được mở bởi phần mềm lừa đảo Zoom, khiến người dùng thực thi tập lệnh độc hại ZoomApp.file trong Terminal, đồng thời xúi giục người dùng nhập thông tin của họ. mật khẩu cục bộ trong quá trình thực thi.

Sau đây là nội dung thực thi của file độc ​​hại:

Giải mã nội dung trên cho thấy đó là tập lệnh osascript độc hại.

Phân tích tiếp tục cho thấy tập lệnh tìm kiếm một tệp thực thi ẩn có tên ".ZoomApp" và chạy cục bộ. Chúng tôi đã thực hiện phân tích ổ đĩa trên gói cài đặt gốc "ZoomApp_v.3.14.dmg" và nhận thấy rằng gói cài đặt đã ẩn tệp thực thi có tên ".ZoomApp".

Phân tích tiếp tục cho thấy tập lệnh tìm kiếm một tệp thực thi ẩn có tên ".ZoomApp" và chạy cục bộ. Chúng tôi đã thực hiện phân tích ổ đĩa trên gói cài đặt gốc "ZoomApp_v.3.14.dmg" và nhận thấy rằng gói cài đặt đã ẩn tệp thực thi có tên ".ZoomApp".

Phân tích hành vi độc hại

phân tích tĩnh

Chúng tôi đã tải tệp nhị phân lên nền tảng tình báo mối đe dọa để phân tích và nhận thấy rằng tệp này đã bị đánh dấu là độc hại.

https://www.virustotal.com/gui/file/e4b6285e183dd5e1c4e9eaf30cec886fd15293205e706855a48b30c890cbf5f2

Thông qua phân tích tháo gỡ tĩnh, hình dưới đây hiển thị mã đầu vào của tệp nhị phân, được sử dụng để giải mã dữ liệu và thực thi tập lệnh.

Hình bên dưới là phần dữ liệu Các bạn có thể thấy hầu hết thông tin đã được mã hóa và mã hóa.

Sau khi giải mã dữ liệu, người ta phát hiện ra rằng tệp nhị phân cuối cùng cũng thực thi một tập lệnh osascript độc hại (mã giải mã hoàn chỉnh đã được chia sẻ tại: https://pastebin.com/qRYQ44xa). gửi nó đến nền.

Hình bên dưới là một phần của mã liệt kê thông tin đường dẫn của các ID trình cắm khác nhau.

Hình bên dưới là một phần code đọc thông tin KeyChain của máy tính.

Sau khi mã độc thu thập thông tin hệ thống, dữ liệu trình duyệt, dữ liệu ví mã hóa, dữ liệu Telegram, dữ liệu ghi chú Notes và dữ liệu cookie, nó sẽ nén và gửi đến máy chủ do hacker kiểm soát (141.98.9.20).

Vì chương trình độc hại yêu cầu người dùng nhập mật khẩu khi chương trình đang chạy và tập lệnh độc hại tiếp theo cũng sẽ thu thập dữ liệu KeyChain trong máy tính (có thể bao gồm nhiều mật khẩu khác nhau được người dùng lưu trên máy tính), nên tin tặc sẽ cố gắng giải mã dữ liệu sau khi thu thập và lấy được mật khẩu của người dùng, các từ ghi nhớ, khóa riêng tư và các thông tin nhạy cảm khác, từ đó đánh cắp tài sản của người dùng.

Theo phân tích, địa chỉ IP máy chủ của hacker được đặt tại Hà Lan và đã bị nền tảng tình báo mối đe dọa gắn cờ là độc hại.

https://www.virustotal.com/gui/ip-address/141.98.9.20

phân tích động

Chương trình độc hại được thực thi động trong môi trường ảo và quy trình được phân tích. Hình bên dưới hiển thị thông tin giám sát quy trình của chương trình độc hại thu thập dữ liệu cục bộ và gửi dữ liệu xuống nền.

Phân tích theo dõi sương mù

Chúng tôi đã sử dụng công cụ theo dõi trên chuỗi MistTrack để phân tích địa chỉ của hacker 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac do nạn nhân cung cấp: địa chỉ của hacker đã kiếm được hơn 1 triệu đô la Mỹ, bao gồm USD0++, MORPHO và ETH trong số đó, USD0++ và MORPHO đã được đổi lấy 296 đô la Mỹ; ETH.

Theo MistTrack, địa chỉ hacker đã nhận được một lượng nhỏ ETH được chuyển từ địa chỉ 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, địa chỉ này bị nghi ngờ cung cấp phí xử lý cho địa chỉ hacker. Nguồn thu nhập của địa chỉ này (0xb01c) chỉ là một địa chỉ, nhưng nó chuyển một lượng nhỏ ETH đến gần 8.800 địa chỉ. Nó dường như là một "nền tảng chuyên cung cấp phí xử lý".

Địa chỉ (0xb01c) đã được sàng lọc để tìm các địa chỉ được đánh dấu là độc hại trong đối tượng chuyển tiền và được liên kết với hai địa chỉ lừa đảo, một trong số đó được đánh dấu là Pink Drainer. Sau khi phân tích kỹ lưỡng về hai địa chỉ lừa đảo này, về cơ bản, tiền đã được chuyển sang ChangeNOW. và MEXC.

Sau đó, phân tích việc chuyển số tiền bị đánh cắp, tổng cộng 296,45 ETH đã được chuyển đến địa chỉ mới 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95.

Giao dịch đầu tiên của địa chỉ mới (0xdfe7) là vào tháng 7 năm 2023, liên quan đến nhiều chuỗi và số dư hiện tại là 32,81 ETH.

Đường dẫn chuyển ETH chính của địa chỉ mới (0xdfe7) như sau:

200,79 ETH -> 0x19e0…5c98f

63,03 ETH -> 0x41a2…9c0b

8,44 ETH -> quy đổi thành 15.720 USDT

14,39 ETH -> Gate.io

Các lần chuyển tiếp theo của các địa chỉ mở rộng ở trên đã được liên kết với nhiều nền tảng như Bybit, Cryptomus.com, Swapspace, Gate.io, MEXC và được liên kết với nhiều địa chỉ được MistTrack đánh dấu là Angel Drainer và Theft. Ngoài ra, hiện có 99,96 ETH bị kẹt tại địa chỉ 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01.

Ngoài ra còn có nhiều dấu vết giao dịch USDT tại địa chỉ mới (0xdfe7), đã được chuyển sang Binance, MEXC, FixFloat và các nền tảng khác.

Tóm tắt

Phương thức lừa đảo được chia sẻ lần này là tin tặc ngụy trang thành các liên kết cuộc họp Zoom thông thường để xúi giục người dùng tải xuống và thực thi phần mềm độc hại. Phần mềm độc hại thường có nhiều chức năng có hại như thu thập thông tin hệ thống, đánh cắp dữ liệu trình duyệt và lấy thông tin ví tiền điện tử, đồng thời truyền dữ liệu đến các máy chủ do tin tặc kiểm soát. Kiểu tấn công này thường kết hợp các cuộc tấn công kỹ thuật xã hội và kỹ thuật tấn công bằng ngựa Trojan và người dùng sẽ trở thành nạn nhân của chúng nếu không cẩn thận. Nhóm bảo mật SlowMist khuyến cáo người dùng nên xác minh cẩn thận trước khi nhấp vào liên kết cuộc họp, tránh thực thi phần mềm và lệnh từ nguồn không xác định, cài đặt phần mềm chống vi-rút và cập nhật thường xuyên. Để biết thêm kiến ​​thức về bảo mật, bạn nên đọc "Sổ tay tự cứu rừng đen Blockchain" do Nhóm bảo mật SlowMist sản xuất: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main /README_CN.md .

Các bình luận

Tất cả bình luận

Recommended for you

  • BTC vượt mốc 66.000 đô la

    Dữ liệu thị trường cho thấy BTC đã vượt qua mốc 66.000 đô la và hiện đang giao dịch ở mức 66.006,95 đô la, giảm 7,87% trong 24 giờ. Thị trường đang biến động mạnh, vui lòng quản lý rủi ro của bạn cho phù hợp.

  • Khách mời đặc biệt | Giáo sư Li Hui sẽ tham dự tiệc hậu sự kiện Web3 Night tại Hồng Kông vào ngày 9 tháng 2.

    Theo Cointime, Giáo sư Li Hui, Giáo sư danh dự của Trường Cao học Đại học Bắc Kinh tại Thâm Quyến và Giám đốc Trung tâm Đổi mới Tương lai Đại học Bắc Kinh về Cơ sở hạ tầng Khoa học và Công nghệ Trọng điểm Quốc gia, đã xác nhận sẽ tham dự buổi tiệc sau sự kiện "Đầu tư, Quan sát, Dự đoán và Đổi mới" của Web3 Night tại Hồng Kông vào ngày 9 tháng 2.

  • Người sáng lập Cardano: Hơn 3 tỷ đô la đã bị mất trong không gian tiền điện tử.

    Vào ngày 6 tháng 2, người sáng lập Cardano, Charles Hoskinson, tiết lộ trong một buổi phát trực tiếp rằng mặc dù đã mất hơn 3 tỷ đô la trong không gian tiền điện tử, ông vẫn chọn ở lại trong ngành này thay vì bỏ cuộc. Đáp lại những lời đồn đoán rằng ông "đủ giàu để chịu được thua lỗ", ông tuyên bố: "Nếu các bạn nghĩ tôi tham gia lĩnh vực này vì tiền, các bạn đã nhầm to rồi - ngay cả khi tôi mất hết, tôi cũng sẽ không dừng lại."

  • Binance: Những người sở hữu ít nhất 240 điểm Alpha có thể nhận được phần thưởng airdrop Binance Alpha vào lúc 17:00 hôm nay.

    Binance Wallet thông báo sẽ phát airdrop Binance Alpha vào lúc 17:00 (UTC) hôm nay. Người dùng cần tích lũy đủ 240 điểm Alpha. Việc phân phối sẽ được thực hiện theo nguyên tắc ai đến trước được trước cho đến khi hết điểm trong pool hoặc sự kiện airdrop kết thúc. Thông tin chi tiết hơn sẽ được công bố sớm.

  • Công ty Sapiom, chuyên về cơ sở hạ tầng tác nhân AI, đã huy động được 15,75 triệu đô la vốn đầu tư, dẫn đầu bởi Accel.

    Công ty cung cấp cơ sở hạ tầng cho các tác nhân AI, Sapiom, đã huy động được 15,75 triệu đô la Mỹ tiền đầu tư, dẫn đầu bởi Accel, cùng với sự tham gia của Gradient, Array Ventures, Okta Ventures, Menlo Ventures, Anthropic, Coinbase Ventures, Formus Capital và Operator Collective. Sapiom cung cấp quyền truy cập kinh tế API đáng tin cậy cho các tác nhân AI.

  • Bộ trưởng Tài chính Hoa Kỳ Bessenter: Ngành ngân hàng và tiền điện tử cuối cùng có thể sẽ cho ra mắt các sản phẩm tương tự.

    Bộ trưởng Tài chính Hoa Kỳ Scott Bessant cho biết trước Quốc hội rằng các sản phẩm và dịch vụ tài chính ngân hàng truyền thống và tiền điện tử có thể sẽ tích hợp sâu rộng hơn trong tương lai. Trong phiên điều trần của Ủy ban Ngân hàng Thượng viện hôm thứ Năm, Thượng nghị sĩ đảng Cộng hòa Cynthia Loomis đã hỏi ông Bessant liệu các ngân hàng truyền thống và lĩnh vực tiền điện tử có thể ra mắt các sản phẩm tài chính tương tự trong tương lai hay không. Ông Bessant trả lời: "Tôi tin rằng, nếu có thời gian, tầm nhìn này sẽ trở thành hiện thực. Trên thực tế, chúng tôi đang làm việc với các ngân hàng nhỏ và ngân hàng cộng đồng để tìm hiểu các con đường khả thi cho sự tham gia của họ vào cuộc cách mạng tài sản kỹ thuật số này." Ông Bessant nhấn mạnh rằng nếu không có các quy định rõ ràng, sự phát triển trong ngành công nghiệp tiền điện tử là "bất khả thi", và kêu gọi ngành công nghiệp ủng hộ Đạo luật CLARITY, một đạo luật liên quan đến cấu trúc thị trường tiền điện tử hiện đang được Quốc hội xem xét. Ông tuyên bố: "Chúng ta phải thúc đẩy việc ban hành Đạo luật CLARITY. Bất kỳ người tham gia thị trường nào phản đối đạo luật này đều có thể chuyển đến El Salvador." Ông Bessant nói thêm: "Chúng ta cần đưa ra các nguyên tắc hoạt động an toàn, mạnh mẽ và thận trọng cùng các hệ thống quản lý từ chính phủ Hoa Kỳ cho ngành công nghiệp tiền điện tử, đồng thời vẫn bảo vệ được sự tự do đổi mới của chính ngành này. Tôi tin rằng tất cả các bên hiện đang nỗ lực tìm kiếm sự cân bằng giữa hai điều này."

  • Tin vắn từ Cointime | Christy: RWA đang định hình lại cấu trúc đầu tư tài sản của mình để cho phép các nhà đầu tư thông thường tham gia vào việc phân bổ tài sản cốt lõi.

    Tại sự kiện Space này, Christy, Giám đốc điều hành của ThamesBridge và Phó Tổng thư ký của Hiệp hội Hệ sinh thái Quốc tế RWA, đã chia sẻ những hiểu biết của mình về tác động của RWA đối với cấu trúc thị trường đầu tư. Bà nhấn mạnh:

  • Tin tức nhanh của Cointime | Hakan: Chuỗi công khai RWA phải đạt được "sự phù hợp về độ tin cậy trên chuỗi với thế giới thực"

    Trong buổi thảo luận về không gian, CEO của Soly Chain, ông Hakan, đã chia sẻ những hiểu biết quan trọng về logic thiết kế của cơ sở hạ tầng RWA và kiến ​​trúc tuân thủ nền tảng của nó. Ông cho biết:

  • Tin vắn Cointime | Wang Ping: Bức tranh tài chính toàn cầu đang bước vào "kỷ nguyên mới của tài chính kỹ thuật số", và Hồng Kông sẽ trở thành một trung tâm quan trọng.

    Trong sự kiện đặc biệt của Space với chủ đề "Kiến tạo kỷ nguyên mới của tài chính kỹ thuật số toàn cầu và đưa Hồng Kông trở thành trung tâm tài chính tầm cao mới", do Cointime, ITA, Liên đoàn Quốc tế Hệ sinh thái RWA và Soly Chain đồng tổ chức, ông Wang Ping, Chủ tịch điều hành kiêm Tổng giám đốc Liên đoàn Quốc tế Hệ sinh thái RWA, đã chia sẻ quan điểm hệ thống của mình về việc tái cấu trúc bối cảnh tài chính toàn cầu và con đường phát triển của hệ sinh thái RWA. Ông chỉ ra rằng:

  • Chỉ còn 3 ngày nữa là đến Hội nghị thượng đỉnh toàn cầu RWA lần đầu tiên, ITA 2026

    Tin tức ngày 6 tháng 2: Để khám phá các xu hướng tiên tiến trong lĩnh vực Tài sản Thế giới Thực (RWA) và xây dựng một nền tảng trao đổi và hợp tác cấp cao liên quan đến chính phủ, kinh tế, công nghiệp, học thuật và nghiên cứu, Tạp chí Bauhinia, cùng với Liên đoàn Quốc tế Hệ sinh thái RWA, Công ty TNHH Công nghệ Triangle (Hồng Kông), Tập đoàn WebX Global Digital Holdings, Coin Found và các công ty khác, sẽ tổ chức "Hội nghị thượng đỉnh toàn cầu RWA lần thứ nhất ITA 2026" tại Hồng Kông vào ngày 9 tháng 2, chỉ còn 3 ngày nữa là đến sự kiện.

phải đọc hàng ngày

hoạt động phổ biến

GM Vietnam - Vietnam Blockchain Week

GM Vietnam - Vietnam Blockchain Week

June 07 - June 08

thẻ phổ biến

Cointime
Chủ Đề
Công Ty