Cointime

Cointime

Download App
iOS & Android

Xem là không tin | Phân tích lừa đảo cuộc họp Zoom giả

Validated Project

Tác giả | Tái sinh, Lisa

Biên tập viên Liz |

lý lịch

Gần đây, nhiều người dùng trên Trong bối cảnh này, nhóm bảo mật SlowMist sẽ phân tích các sự cố lừa đảo và phương thức tấn công như vậy, đồng thời theo dõi dòng tiền của tin tặc.

Phân tích liên kết lừa đảo

Tin tặc sử dụng tên miền dưới dạng "app[.]us4zoom[.]us" để ngụy trang thành các liên kết cuộc họp Zoom thông thường. Trang này rất giống với cuộc họp Zoom thực. Khi người dùng nhấp vào nút "Bắt đầu cuộc họp", trang này rất giống với cuộc họp Zoom thực. nó sẽ kích hoạt tải xuống gói cài đặt độc hại. Máy khách Zoom cục bộ không khởi động.

Bằng cách phát hiện tên miền trên, chúng tôi đã phát hiện ra địa chỉ nhật ký giám sát của hacker (https[:]//app[.]us4zoom[.]us/error_log).

Quá trình giải mã tiết lộ rằng đây là một mục nhật ký khi tập lệnh cố gắng gửi tin nhắn thông qua API Telegram và ngôn ngữ được sử dụng là tiếng Nga.

Quá trình giải mã tiết lộ rằng đây là một mục nhật ký khi tập lệnh cố gắng gửi tin nhắn thông qua API Telegram và ngôn ngữ được sử dụng là tiếng Nga.

Trang web này đã được triển khai và ra mắt cách đây 27 ngày. Tin tặc có thể là người Nga và đã tìm kiếm mục tiêu để thực hiện các vụ lừa đảo kể từ ngày 14 tháng 11, sau đó theo dõi thông qua API Telegram xem có mục tiêu nào nhấp vào nút tải xuống của trang lừa đảo hay không.

Phân tích phần mềm độc hại

Tên tệp của gói cài đặt độc hại là "ZoomApp_v.3.14.dmg". Sau đây là giao diện được mở bởi phần mềm lừa đảo Zoom, khiến người dùng thực thi tập lệnh độc hại ZoomApp.file trong Terminal, đồng thời xúi giục người dùng nhập thông tin của họ. mật khẩu cục bộ trong quá trình thực thi.

Sau đây là nội dung thực thi của file độc ​​hại:

Giải mã nội dung trên cho thấy đó là tập lệnh osascript độc hại.

Phân tích tiếp tục cho thấy tập lệnh tìm kiếm một tệp thực thi ẩn có tên ".ZoomApp" và chạy cục bộ. Chúng tôi đã thực hiện phân tích ổ đĩa trên gói cài đặt gốc "ZoomApp_v.3.14.dmg" và nhận thấy rằng gói cài đặt đã ẩn tệp thực thi có tên ".ZoomApp".

Phân tích tiếp tục cho thấy tập lệnh tìm kiếm một tệp thực thi ẩn có tên ".ZoomApp" và chạy cục bộ. Chúng tôi đã thực hiện phân tích ổ đĩa trên gói cài đặt gốc "ZoomApp_v.3.14.dmg" và nhận thấy rằng gói cài đặt đã ẩn tệp thực thi có tên ".ZoomApp".

Phân tích hành vi độc hại

phân tích tĩnh

Chúng tôi đã tải tệp nhị phân lên nền tảng tình báo mối đe dọa để phân tích và nhận thấy rằng tệp này đã bị đánh dấu là độc hại.

https://www.virustotal.com/gui/file/e4b6285e183dd5e1c4e9eaf30cec886fd15293205e706855a48b30c890cbf5f2

Thông qua phân tích tháo gỡ tĩnh, hình dưới đây hiển thị mã đầu vào của tệp nhị phân, được sử dụng để giải mã dữ liệu và thực thi tập lệnh.

Hình bên dưới là phần dữ liệu Các bạn có thể thấy hầu hết thông tin đã được mã hóa và mã hóa.

Sau khi giải mã dữ liệu, người ta phát hiện ra rằng tệp nhị phân cuối cùng cũng thực thi một tập lệnh osascript độc hại (mã giải mã hoàn chỉnh đã được chia sẻ tại: https://pastebin.com/qRYQ44xa). gửi nó đến nền.

Hình bên dưới là một phần của mã liệt kê thông tin đường dẫn của các ID trình cắm khác nhau.

Hình bên dưới là một phần code đọc thông tin KeyChain của máy tính.

Sau khi mã độc thu thập thông tin hệ thống, dữ liệu trình duyệt, dữ liệu ví mã hóa, dữ liệu Telegram, dữ liệu ghi chú Notes và dữ liệu cookie, nó sẽ nén và gửi đến máy chủ do hacker kiểm soát (141.98.9.20).

Vì chương trình độc hại yêu cầu người dùng nhập mật khẩu khi chương trình đang chạy và tập lệnh độc hại tiếp theo cũng sẽ thu thập dữ liệu KeyChain trong máy tính (có thể bao gồm nhiều mật khẩu khác nhau được người dùng lưu trên máy tính), nên tin tặc sẽ cố gắng giải mã dữ liệu sau khi thu thập và lấy được mật khẩu của người dùng, các từ ghi nhớ, khóa riêng tư và các thông tin nhạy cảm khác, từ đó đánh cắp tài sản của người dùng.

Theo phân tích, địa chỉ IP máy chủ của hacker được đặt tại Hà Lan và đã bị nền tảng tình báo mối đe dọa gắn cờ là độc hại.

https://www.virustotal.com/gui/ip-address/141.98.9.20

phân tích động

Chương trình độc hại được thực thi động trong môi trường ảo và quy trình được phân tích. Hình bên dưới hiển thị thông tin giám sát quy trình của chương trình độc hại thu thập dữ liệu cục bộ và gửi dữ liệu xuống nền.

Phân tích theo dõi sương mù

Chúng tôi đã sử dụng công cụ theo dõi trên chuỗi MistTrack để phân tích địa chỉ của hacker 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac do nạn nhân cung cấp: địa chỉ của hacker đã kiếm được hơn 1 triệu đô la Mỹ, bao gồm USD0++, MORPHO và ETH trong số đó, USD0++ và MORPHO đã được đổi lấy 296 đô la Mỹ; ETH.

Theo MistTrack, địa chỉ hacker đã nhận được một lượng nhỏ ETH được chuyển từ địa chỉ 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, địa chỉ này bị nghi ngờ cung cấp phí xử lý cho địa chỉ hacker. Nguồn thu nhập của địa chỉ này (0xb01c) chỉ là một địa chỉ, nhưng nó chuyển một lượng nhỏ ETH đến gần 8.800 địa chỉ. Nó dường như là một "nền tảng chuyên cung cấp phí xử lý".

Địa chỉ (0xb01c) đã được sàng lọc để tìm các địa chỉ được đánh dấu là độc hại trong đối tượng chuyển tiền và được liên kết với hai địa chỉ lừa đảo, một trong số đó được đánh dấu là Pink Drainer. Sau khi phân tích kỹ lưỡng về hai địa chỉ lừa đảo này, về cơ bản, tiền đã được chuyển sang ChangeNOW. và MEXC.

Sau đó, phân tích việc chuyển số tiền bị đánh cắp, tổng cộng 296,45 ETH đã được chuyển đến địa chỉ mới 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95.

Giao dịch đầu tiên của địa chỉ mới (0xdfe7) là vào tháng 7 năm 2023, liên quan đến nhiều chuỗi và số dư hiện tại là 32,81 ETH.

Đường dẫn chuyển ETH chính của địa chỉ mới (0xdfe7) như sau:

200,79 ETH -> 0x19e0…5c98f

63,03 ETH -> 0x41a2…9c0b

8,44 ETH -> quy đổi thành 15.720 USDT

14,39 ETH -> Gate.io

Các lần chuyển tiếp theo của các địa chỉ mở rộng ở trên đã được liên kết với nhiều nền tảng như Bybit, Cryptomus.com, Swapspace, Gate.io, MEXC và được liên kết với nhiều địa chỉ được MistTrack đánh dấu là Angel Drainer và Theft. Ngoài ra, hiện có 99,96 ETH bị kẹt tại địa chỉ 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01.

Ngoài ra còn có nhiều dấu vết giao dịch USDT tại địa chỉ mới (0xdfe7), đã được chuyển sang Binance, MEXC, FixFloat và các nền tảng khác.

Tóm tắt

Phương thức lừa đảo được chia sẻ lần này là tin tặc ngụy trang thành các liên kết cuộc họp Zoom thông thường để xúi giục người dùng tải xuống và thực thi phần mềm độc hại. Phần mềm độc hại thường có nhiều chức năng có hại như thu thập thông tin hệ thống, đánh cắp dữ liệu trình duyệt và lấy thông tin ví tiền điện tử, đồng thời truyền dữ liệu đến các máy chủ do tin tặc kiểm soát. Kiểu tấn công này thường kết hợp các cuộc tấn công kỹ thuật xã hội và kỹ thuật tấn công bằng ngựa Trojan và người dùng sẽ trở thành nạn nhân của chúng nếu không cẩn thận. Nhóm bảo mật SlowMist khuyến cáo người dùng nên xác minh cẩn thận trước khi nhấp vào liên kết cuộc họp, tránh thực thi phần mềm và lệnh từ nguồn không xác định, cài đặt phần mềm chống vi-rút và cập nhật thường xuyên. Để biết thêm kiến ​​thức về bảo mật, bạn nên đọc "Sổ tay tự cứu rừng đen Blockchain" do Nhóm bảo mật SlowMist sản xuất: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main /README_CN.md .

Các bình luận

Tất cả bình luận

Recommended for you

  • Chủ tịch Ủy ban Ngân hàng Thượng viện Hoa Kỳ: Các điều khoản dự thảo mới liên quan đến lợi suất stablecoin có thể được công bố ngay trong tuần này.

    Theo Cointime, Thượng nghị sĩ Tim Scott, Chủ tịch Ủy ban Ngân hàng Thượng viện, phát biểu tại Hội nghị thượng đỉnh Blockchain DC rằng các nhà lập pháp có thể xem xét dự thảo luật mới, ít nhất là các điều khoản liên quan đến stablecoin, ngay trong tuần này. Ông Scott lưu ý rằng lợi suất stablecoin là vấn đề được thảo luận công khai nhiều nhất trong dự luật, nhưng các nhà lập pháp vẫn đang tiếp tục làm việc về vấn đề này. Ông nói: “Tôi tin rằng tôi sẽ có bản đề xuất đầu tiên để xem xét trong tuần này. Nếu điều đó xảy ra vào cuối tuần, và tôi nghĩ nó sẽ xảy ra, chúng ta ít nhất sẽ biết liệu khung pháp lý có đang hình thành hay không. Nếu vậy, tôi nghĩ chúng ta sẽ ở vị thế tốt hơn.” Ông cũng cho rằng tiến triển này là nhờ nỗ lực của Thượng nghị sĩ đảng Dân chủ Angela Alsobrooks, Thượng nghị sĩ đảng Cộng hòa Thom Tillis và quan chức Nhà Trắng Patrick Witt về vấn đề lợi suất stablecoin. Ông cho biết thêm rằng các vấn đề chưa được giải quyết khác cũng đã được đề cập trong các cuộc đàm phán trong tháng qua, bao gồm mối lo ngại của các nhà lập pháp về các dự án tiền điện tử của Tổng thống Donald Trump và gia đình ông, việc thiếu đại diện lưỡng đảng trong các cơ quan quản lý quan trọng và các quy định về Xác minh danh tính khách hàng (KYC). Ông Scott cũng cho biết: “Tôi nghĩ chúng ta đang rất gần đạt được thỏa thuận về các vấn đề đạo đức và số lượng thành viên cần thiết để thông qua. Chúng ta biết đây là vấn đề quan trọng đối với phía bên kia, vì vậy chúng ta cũng đang giải quyết nó. Tôi nghĩ chúng ta cũng đang đạt được tiến triển trong một số đề cử, đó là tin tốt. Còn về DeFi, đây là lĩnh vực mà Thượng nghị sĩ Mark Warner đang tập trung vào, và Chống rửa tiền (AML) là một phần rất quan trọng trong đó. Vì vậy, tôi nghĩ chúng ta đang tiến lên phía trước về những vấn đề này.”

  • Bản tin buổi sáng vàng | Những diễn biến quan trọng trong đêm ngày 18 tháng 3

    21:00-7:00 Từ khóa: Phantom, Stripe, Autonomous, Iran 1. Iran tuyên bố có thể hợp pháp tấn công các quốc gia cho phép Mỹ và Israel sử dụng lãnh thổ của mình; 2. CFTC Hoa Kỳ: Ví điện tử Phantom không yêu cầu đăng ký làm môi giới; 3. Tổng chưởng lý Arizona đệ đơn kiện hình sự chống lại nhà tiếp thị dự đoán Kalshi; 4. Bộ Ngoại giao Hoa Kỳ đã ra lệnh cho tất cả các đại sứ quán trên toàn thế giới tiến hành đánh giá an ninh "ngay lập tức"; 5. Robinhood Venture Capital đầu tư khoảng 35 triệu đô la vào Stripe và ElevenLabs; 6. GSR đầu tư 57 triệu đô la để mua lại Autonomous và Architech nhằm tạo ra một nền tảng quản lý quỹ tiền điện tử; 7. SEC và CFTC Hoa Kỳ ban hành hướng dẫn mới về tiền điện tử, nêu rõ rằng hầu hết các tài sản kỹ thuật số không phải là chứng khoán.

  • Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) và Ủy ban Giao dịch Hàng hóa Tương lai (CFTC) đã đưa ra các ý kiến ​​mới về tiền điện tử, trong đó nêu rõ rằng hầu hết các tài sản kỹ thuật số không thuộc loại chứng khoán.

    Ngày 18 tháng 3, Cointime đưa tin Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) và Ủy ban Giao dịch Hàng hóa Tương lai (CFTC) đã ban hành một tài liệu hướng dẫn dài 68 trang về tiền điện tử, trong đó nêu rõ hầu hết các tài sản kỹ thuật số không phải là chứng khoán. Tài liệu giải thích mới này nêu chi tiết phân loại stablecoin, hàng hóa kỹ thuật số và token “công cụ kỹ thuật số”, tất cả đều được cơ quan này khẳng định không phải là chứng khoán. Nó cũng cố gắng giải thích cách thức các “tài sản tiền điện tử không phải chứng khoán” có thể trở thành chứng khoán và làm rõ cách luật chứng khoán liên bang áp dụng cho khai thác, đặt cược giao thức và airdrop. SEC cũng giải thích cách thức các tài sản kỹ thuật số không phải chứng khoán có thể trở thành đối tượng của các hợp đồng đầu tư. Cơ quan này nêu rõ trong phần giải thích của mình: “Các tài sản tiền điện tử không phải chứng khoán trở thành đối tượng của các hợp đồng đầu tư khi một nhà phát hành thuyết phục các nhà đầu tư đầu tư vào một doanh nghiệp chung và đưa ra cam kết hoặc tuyên bố sẽ thực hiện công việc quản lý cần thiết, và người mua có lý do để kỳ vọng thu lợi nhuận từ đó.”

  • Mastercard dự định mua lại công ty tiền điện tử ổn định BVNK với giá lên tới 1,8 tỷ đô la.

    Theo Cointime, Mastercard đang lên kế hoạch mua lại công ty khởi nghiệp về cơ sở hạ tầng stablecoin BVNK với giá lên tới 1,8 tỷ đô la, bao gồm khoản thanh toán bổ sung trị giá 300 triệu đô la nếu thương vụ thành công. Thương vụ này diễn ra chỉ bốn tháng sau khi các cuộc đàm phán sáp nhập trị giá khoảng 2 tỷ đô la giữa BVNK và Coinbase đổ vỡ. Cả hai công ty đã xác nhận thỏa thuận trong một tuyên bố chung được phát hành vào thứ Ba.

  • Zixi.eth ·

    Phân tích chuyên sâu về DexFV × OpenClaw: Cơ sở hạ tầng thị trường vốn trên chuỗi được hỗ trợ bởi trí tuệ nhân tạo

    Phân tích chuyên sâu về DexFV × OpenClaw: Cơ sở hạ tầng thị trường vốn trên chuỗi được hỗ trợ bởi trí tuệ nhân tạo
  • Zixi.eth ·

    Làm thế nào để kiếm tiền với kỹ năng OpenClaw? So với ANOME ONE, con đường nào phù hợp hơn với bạn?

    Làm thế nào để kiếm tiền với kỹ năng OpenClaw? So với ANOME ONE, con đường nào phù hợp hơn với bạn?

  • BTC vượt mốc 75.000 đô la

    Dữ liệu thị trường cho thấy BTC đã vượt qua mốc 75.000 đô la và hiện đang giao dịch ở mức 75.033,01 đô la, tăng 2,83% trong 24 giờ. Thị trường đang trải qua biến động mạnh, vì vậy hãy quản lý rủi ro của bạn cho phù hợp.

  • Zixi.eth ·

    OpenClaw rất phổ biến, nhưng điều mà người dân bình thường thực sự cần không phải là nuôi tôm, mà là một điểm khởi đầu cho phép họ tham gia trực tiếp.

    OpenClaw rất phổ biến, nhưng điều mà người dân bình thường thực sự cần không phải là nuôi tôm, mà là một điểm khởi đầu cho phép họ tham gia trực tiếp.
  • FusnChain ·

    Mạng chính FusnChain sắp ra mắt: blockchain công khai đầu tiên trên thế giới dành cho thực thi tài chính, mở ra cơ sở hạ tầng thực thi tài chính trên chuỗi cho kỷ nguyên PayFi.

    Một sự thay đổi mang tính lịch sử sắp diễn ra trong bối cảnh cơ sở hạ tầng Web3 toàn cầu. FusnChain, mạng lưới chính thức chuyên kết nối thế giới tiền điện tử với dòng tiền thực tế, đã chính thức thông báo về việc sắp ra mắt mạng chính (mainnet) của mình.

    Mạng chính FusnChain sắp ra mắt: blockchain công khai đầu tiên trên thế giới dành cho thực thi tài chính, mở ra cơ sở hạ tầng thực thi tài chính trên chuỗi cho kỷ nguyên PayFi.

  • BTC vượt mốc 71.500 đô la.

    Dữ liệu thị trường cho thấy BTC đã vượt qua mốc 71.500 đô la và hiện đang giao dịch ở mức 71.510,19 đô la, tăng 1,06% trong 24 giờ. Thị trường đang trải qua biến động mạnh, vì vậy hãy quản lý rủi ro của bạn cho phù hợp.

phải đọc hàng ngày

hoạt động phổ biến

GM Vietnam - Vietnam Blockchain Week

GM Vietnam - Vietnam Blockchain Week

June 07 - June 08

thẻ phổ biến

Cointime
Chủ Đề
Công Ty