Cointime

Cointime

Download App
iOS & Android

Xem là không tin | Phân tích lừa đảo cuộc họp Zoom giả

慢雾SlowMist

Validated Project

Tác giả | Tái sinh, Lisa

Biên tập viên Liz |

lý lịch

Gần đây, nhiều người dùng trên Trong bối cảnh này, nhóm bảo mật SlowMist sẽ phân tích các sự cố lừa đảo và phương thức tấn công như vậy, đồng thời theo dõi dòng tiền của tin tặc.

Phân tích liên kết lừa đảo

Tin tặc sử dụng tên miền dưới dạng "app[.]us4zoom[.]us" để ngụy trang thành các liên kết cuộc họp Zoom thông thường. Trang này rất giống với cuộc họp Zoom thực. Khi người dùng nhấp vào nút "Bắt đầu cuộc họp", trang này rất giống với cuộc họp Zoom thực. nó sẽ kích hoạt tải xuống gói cài đặt độc hại. Máy khách Zoom cục bộ không khởi động.

Bằng cách phát hiện tên miền trên, chúng tôi đã phát hiện ra địa chỉ nhật ký giám sát của hacker (https[:]//app[.]us4zoom[.]us/error_log).

Quá trình giải mã tiết lộ rằng đây là một mục nhật ký khi tập lệnh cố gắng gửi tin nhắn thông qua API Telegram và ngôn ngữ được sử dụng là tiếng Nga.

Quá trình giải mã tiết lộ rằng đây là một mục nhật ký khi tập lệnh cố gắng gửi tin nhắn thông qua API Telegram và ngôn ngữ được sử dụng là tiếng Nga.

Trang web này đã được triển khai và ra mắt cách đây 27 ngày. Tin tặc có thể là người Nga và đã tìm kiếm mục tiêu để thực hiện các vụ lừa đảo kể từ ngày 14 tháng 11, sau đó theo dõi thông qua API Telegram xem có mục tiêu nào nhấp vào nút tải xuống của trang lừa đảo hay không.

Phân tích phần mềm độc hại

Tên tệp của gói cài đặt độc hại là "ZoomApp_v.3.14.dmg". Sau đây là giao diện được mở bởi phần mềm lừa đảo Zoom, khiến người dùng thực thi tập lệnh độc hại ZoomApp.file trong Terminal, đồng thời xúi giục người dùng nhập thông tin của họ. mật khẩu cục bộ trong quá trình thực thi.

Sau đây là nội dung thực thi của file độc ​​hại:

Giải mã nội dung trên cho thấy đó là tập lệnh osascript độc hại.

Phân tích tiếp tục cho thấy tập lệnh tìm kiếm một tệp thực thi ẩn có tên ".ZoomApp" và chạy cục bộ. Chúng tôi đã thực hiện phân tích ổ đĩa trên gói cài đặt gốc "ZoomApp_v.3.14.dmg" và nhận thấy rằng gói cài đặt đã ẩn tệp thực thi có tên ".ZoomApp".

Phân tích tiếp tục cho thấy tập lệnh tìm kiếm một tệp thực thi ẩn có tên ".ZoomApp" và chạy cục bộ. Chúng tôi đã thực hiện phân tích ổ đĩa trên gói cài đặt gốc "ZoomApp_v.3.14.dmg" và nhận thấy rằng gói cài đặt đã ẩn tệp thực thi có tên ".ZoomApp".

Phân tích hành vi độc hại

phân tích tĩnh

Chúng tôi đã tải tệp nhị phân lên nền tảng tình báo mối đe dọa để phân tích và nhận thấy rằng tệp này đã bị đánh dấu là độc hại.

https://www.virustotal.com/gui/file/e4b6285e183dd5e1c4e9eaf30cec886fd15293205e706855a48b30c890cbf5f2

Thông qua phân tích tháo gỡ tĩnh, hình dưới đây hiển thị mã đầu vào của tệp nhị phân, được sử dụng để giải mã dữ liệu và thực thi tập lệnh.

Hình bên dưới là phần dữ liệu Các bạn có thể thấy hầu hết thông tin đã được mã hóa và mã hóa.

Sau khi giải mã dữ liệu, người ta phát hiện ra rằng tệp nhị phân cuối cùng cũng thực thi một tập lệnh osascript độc hại (mã giải mã hoàn chỉnh đã được chia sẻ tại: https://pastebin.com/qRYQ44xa). gửi nó đến nền.

Hình bên dưới là một phần của mã liệt kê thông tin đường dẫn của các ID trình cắm khác nhau.

Hình bên dưới là một phần code đọc thông tin KeyChain của máy tính.

Sau khi mã độc thu thập thông tin hệ thống, dữ liệu trình duyệt, dữ liệu ví mã hóa, dữ liệu Telegram, dữ liệu ghi chú Notes và dữ liệu cookie, nó sẽ nén và gửi đến máy chủ do hacker kiểm soát (141.98.9.20).

Vì chương trình độc hại yêu cầu người dùng nhập mật khẩu khi chương trình đang chạy và tập lệnh độc hại tiếp theo cũng sẽ thu thập dữ liệu KeyChain trong máy tính (có thể bao gồm nhiều mật khẩu khác nhau được người dùng lưu trên máy tính), nên tin tặc sẽ cố gắng giải mã dữ liệu sau khi thu thập và lấy được mật khẩu của người dùng, các từ ghi nhớ, khóa riêng tư và các thông tin nhạy cảm khác, từ đó đánh cắp tài sản của người dùng.

Theo phân tích, địa chỉ IP máy chủ của hacker được đặt tại Hà Lan và đã bị nền tảng tình báo mối đe dọa gắn cờ là độc hại.

https://www.virustotal.com/gui/ip-address/141.98.9.20

phân tích động

Chương trình độc hại được thực thi động trong môi trường ảo và quy trình được phân tích. Hình bên dưới hiển thị thông tin giám sát quy trình của chương trình độc hại thu thập dữ liệu cục bộ và gửi dữ liệu xuống nền.

Phân tích theo dõi sương mù

Chúng tôi đã sử dụng công cụ theo dõi trên chuỗi MistTrack để phân tích địa chỉ của hacker 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac do nạn nhân cung cấp: địa chỉ của hacker đã kiếm được hơn 1 triệu đô la Mỹ, bao gồm USD0++, MORPHO và ETH trong số đó, USD0++ và MORPHO đã được đổi lấy 296 đô la Mỹ; ETH.

Theo MistTrack, địa chỉ hacker đã nhận được một lượng nhỏ ETH được chuyển từ địa chỉ 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, địa chỉ này bị nghi ngờ cung cấp phí xử lý cho địa chỉ hacker. Nguồn thu nhập của địa chỉ này (0xb01c) chỉ là một địa chỉ, nhưng nó chuyển một lượng nhỏ ETH đến gần 8.800 địa chỉ. Nó dường như là một "nền tảng chuyên cung cấp phí xử lý".

Địa chỉ (0xb01c) đã được sàng lọc để tìm các địa chỉ được đánh dấu là độc hại trong đối tượng chuyển tiền và được liên kết với hai địa chỉ lừa đảo, một trong số đó được đánh dấu là Pink Drainer. Sau khi phân tích kỹ lưỡng về hai địa chỉ lừa đảo này, về cơ bản, tiền đã được chuyển sang ChangeNOW. và MEXC.

Sau đó, phân tích việc chuyển số tiền bị đánh cắp, tổng cộng 296,45 ETH đã được chuyển đến địa chỉ mới 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95.

Giao dịch đầu tiên của địa chỉ mới (0xdfe7) là vào tháng 7 năm 2023, liên quan đến nhiều chuỗi và số dư hiện tại là 32,81 ETH.

Đường dẫn chuyển ETH chính của địa chỉ mới (0xdfe7) như sau:

200,79 ETH -> 0x19e0…5c98f

63,03 ETH -> 0x41a2…9c0b

8,44 ETH -> quy đổi thành 15.720 USDT

14,39 ETH -> Gate.io

Các lần chuyển tiếp theo của các địa chỉ mở rộng ở trên đã được liên kết với nhiều nền tảng như Bybit, Cryptomus.com, Swapspace, Gate.io, MEXC và được liên kết với nhiều địa chỉ được MistTrack đánh dấu là Angel Drainer và Theft. Ngoài ra, hiện có 99,96 ETH bị kẹt tại địa chỉ 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01.

Ngoài ra còn có nhiều dấu vết giao dịch USDT tại địa chỉ mới (0xdfe7), đã được chuyển sang Binance, MEXC, FixFloat và các nền tảng khác.

Tóm tắt

Phương thức lừa đảo được chia sẻ lần này là tin tặc ngụy trang thành các liên kết cuộc họp Zoom thông thường để xúi giục người dùng tải xuống và thực thi phần mềm độc hại. Phần mềm độc hại thường có nhiều chức năng có hại như thu thập thông tin hệ thống, đánh cắp dữ liệu trình duyệt và lấy thông tin ví tiền điện tử, đồng thời truyền dữ liệu đến các máy chủ do tin tặc kiểm soát. Kiểu tấn công này thường kết hợp các cuộc tấn công kỹ thuật xã hội và kỹ thuật tấn công bằng ngựa Trojan và người dùng sẽ trở thành nạn nhân của chúng nếu không cẩn thận. Nhóm bảo mật SlowMist khuyến cáo người dùng nên xác minh cẩn thận trước khi nhấp vào liên kết cuộc họp, tránh thực thi phần mềm và lệnh từ nguồn không xác định, cài đặt phần mềm chống vi-rút và cập nhật thường xuyên. Để biết thêm kiến ​​thức về bảo mật, bạn nên đọc "Sổ tay tự cứu rừng đen Blockchain" do Nhóm bảo mật SlowMist sản xuất: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main /README_CN.md .

Các bình luận

Tất cả bình luận

Recommended for you

  • Web3 Channel ·

    Kỷ nguyên mới của dịch vụ lưu ký tài sản Web3: ACP sẽ ra mắt vào ngày 1 tháng 8, dẫn đầu cuộc cách mạng trong ngành

    Nó gánh vác sứ mệnh thiêng liêng là đổi mới mô hình lưu ký tài sản Web3.

    Kỷ nguyên mới của dịch vụ lưu ký tài sản Web3: ACP sẽ ra mắt vào ngày 1 tháng 8, dẫn đầu cuộc cách mạng trong ngành

  • Tron Inc. đã rung chuông khai mạc trên Nasdaq hôm nay, do Justin Sun dẫn chương trình

    Theo Cointime, Tron Inc. (NASDAQ: TRON) đã rung chuông khai mạc tại Nasdaq hôm nay để chào mừng việc đổi tên chính thức của TRON. Inc. Buổi lễ do Justin Sun, nhà sáng lập blockchain TRON và cố vấn toàn cầu của Tron Inc., chủ trì và được truyền hình trực tiếp tại Sàn giao dịch Nasdaq ở Quảng trường Thời đại.

  • Tóm tắt diễn biến quan trọng trưa ngày 25/7

    7:00-12:00 Từ khóa: Nigeria, 401(k), stablecoin 1. Tòa án New York chấp thuận cho hai nghi phạm tại ngoại trong vụ bắt cóc Bitcoin; 2. CICC: Stablecoin có tiềm năng trở thành một loại cơ sở hạ tầng mới; 3. Luật tiền điện tử của Hoa Kỳ thúc đẩy nguồn cung stablecoin tăng vọt thêm 4 tỷ đô la; 4. Tổng giám đốc SEC Nigeria: Đất nước này mở cửa cho các công ty stablecoin tuân thủ; 5. Cựu Thống đốc Cục Dự trữ Liên bang Warsh: Nếu tôi bỏ phiếu, tôi sẽ ủng hộ việc cắt giảm lãi suất vào tuần tới; 6. Cựu Thống đốc Cục Dự trữ Liên bang Warsh: Chúng ta cần sự thay đổi lãnh đạo (Cục Dự trữ Liên bang); 7. Nhà Trắng sẽ cho phép 401(k) đầu tư vào tiền điện tử và Chủ tịch Blackstone kỳ vọng các công ty cổ phần tư nhân lớn sẽ thống trị thị trường.

  • Web3 Channel ·

    A7A5 Stablecoin: Giao thoa giữa đổi mới tài chính và tranh cãi của Nga

    Điều này cũng phản ánh sự nổi lên của Kyrgyzstan như một trung tâm đổi mới blockchain khu vực.

    A7A5 Stablecoin: Giao thoa giữa đổi mới tài chính và tranh cãi của Nga

  • Tether: Token Tether Gold đã đạt gần 250.000, được hỗ trợ bởi tổng cộng 7,66 tấn vàng vật chất

    Tether công bố tính đến quý 2 năm 2025, công ty đã phát hành gần 250.000 token Tether Gold, được bảo chứng bằng tổng cộng 7,66 tấn vàng vật chất. Mỗi token Tether Gold được bảo chứng bằng 1 ounce vàng vật chất và được lưu trữ trong một kho tiền Thụy Sĩ. Giá trị thị trường hiện tại của token này vào khoảng 830 triệu đô la Mỹ.

  • Solana công bố lộ trình thị trường vốn Internet tập trung vào việc thực hiện kiểm soát ứng dụng

    Quỹ Solana đã công bố lộ trình "Thị trường Vốn Internet", được đồng sáng tác bởi các thành viên trong nhóm như Quỹ Solana, Anza, Jito Labs, DoubleZero, Drift và Multicoin Capital. Lộ trình này tập trung vào việc thực thi do ứng dụng kiểm soát và phác thảo sáu khía cạnh đánh đổi chính: quyền riêng tư và minh bạch, rào cản tốc độ và giao dịch không bị ràng buộc, tính bao hàm, tính dứt khoát và độ trễ, lưu trữ và phân quyền địa lý, ưu tiên người tạo ra và người nhận trước, và tính linh hoạt và kiến trúc bền vững. Trong ngắn hạn, nhóm Jito Labs đã công bố Thị trường Lắp ráp Khối (BAM) vào thứ Hai, một "hệ thống xử lý giao dịch cung cấp cho các trình xác thực, nhà giao dịch và ứng dụng Solana những công cụ mới mạnh mẽ để cải thiện hiệu suất". BAM sẽ được ra mắt vào cuối tháng này và hướng đến mục tiêu mang lại quyền riêng tư và minh bạch cho các giao dịch trên chuỗi, cho phép các nhà xây dựng triển khai sổ lệnh giới hạn tập trung (CLOB) cạnh tranh với các sàn giao dịch tập trung. Trong trung hạn (được tác giả định nghĩa là từ ba đến chín tháng tới), các dự án như DoubleZero (một mạng cáp quang tùy chỉnh được thiết kế để giảm độ trễ và tăng băng thông) và Alpenglow (giao thức đồng thuận mới của Solana nhằm mục đích giảm thời gian hoàn tất khối từ 12,8 giây xuống chỉ còn 150 mili giây) sẽ được triển khai. Cả hai dự án đều được thiết kế để nâng cao mạng lưới hiện có của Solana. Về dài hạn, tức là đến năm 2027 trở đi, Solana sẽ nỗ lực triển khai Multi-Concurrent Leaders (MCL) và ACE để hỗ trợ các thị trường thanh khoản cao nhất trên chuỗi.

  • Tổng thống Mỹ Trump phủ nhận ông muốn 'phá hủy công ty của Musk'

    Tổng thống Mỹ Trump: Tôi hy vọng Musk và tất cả doanh nghiệp trong nước chúng ta có thể thịnh vượng. Tổng thống Mỹ Trump phủ nhận việc ông muốn "phá hủy công ty của Musk".

  • Chủ tịch ECB Lagarde: Tập trung vào con đường đàm phán thương mại

    Chủ tịch ECB Lagarde: Hãy chú ý đến lộ trình đàm phán thương mại, kịch bản cơ sở trong tháng 6 vẫn không thay đổi.

  • Musk: Vine sẽ được hồi sinh dưới dạng trí tuệ nhân tạo

    Musk đăng trên mạng xã hội rằng chúng tôi sẽ hồi sinh Vine dưới dạng trí tuệ nhân tạo.

  • Phân tích: Xu hướng bất thường của đồng đô la có thể là một lý do khác khiến Powell thận trọng về việc cắt giảm lãi suất

    Theo phân tích của truyền thông nước ngoài, dưới ảnh hưởng của chính sách thuế quan, Chủ tịch Cục Dự trữ Liên bang Powell vẫn kiên quyết chờ đợi thêm bằng chứng trước khi cắt giảm lãi suất để chứng minh lạm phát không tăng vọt. Ngoài ra, một lý do khác khiến Powell cần hành động thận trọng là xu hướng của đồng đô la Mỹ đang cực kỳ bất thường. Trước khi chính sách thuế quan được công bố, thị trường nhìn chung kỳ vọng rằng thuế quan sẽ củng cố đồng đô la Mỹ. Tuy nhiên, thực tế là đồng đô la Mỹ đang mất giá. Kể từ "Ngày Giải phóng" vào ngày 2 tháng 4, chỉ số đồng đô la Mỹ đã giảm 6,8% và đã giảm khoảng 10,4% tính đến nay trong năm 2025, mức giảm tồi tệ nhất trong ít nhất 25 năm qua. Sự suy yếu dai dẳng của đồng đô la Mỹ nhiều khả năng sẽ tác động đáng kể đến nền kinh tế, bao gồm cả giá tiêu dùng.

phải đọc hàng ngày

hoạt động phổ biến

GM Vietnam - Vietnam Blockchain Week

GM Vietnam - Vietnam Blockchain Week

June 07 - June 08

thẻ phổ biến

Cointime
Chủ Đề
Công Ty
Cointime

Hot Coins

Trending