Hackere bruger falske Zoom-links til at målrette mod kryptobrugere, stjæle $1M: rapport

En sofistikeret phishing-svindel rettet mod brugere af kryptovaluta er blevet afsløret, der udnytter falske Zoom-mødelinks til at distribuere malware og stjæle aktiver.

Operationen, afsløret af blockchain-sikkerhedsfirmaet SlowMist, så hackere efterligne Zooms platform for at kompromittere følsomme oplysninger, herunder private nøgler og pung-legitimationsoplysninger.

Denne ondsindede kampagne, aktiv siden november 2024, har resulteret i betydelige økonomiske tab, med over 1 million dollars sporet til en hackers Ethereum-pung.

Angriberne brugte avancerede malware- og sløringsteknikker, hvilket understregede den voksende risiko for cybertrusler i kryptoindustrien.

Falske Zoom-links implementeret for at stjæle kryptovaluta

Hackere brugte et phishing-domæne, "app[.]us4zoom[.]us", designet til at replikere Zooms grænseflade.

Ofrene blev bedraget til at klikke på en "Start møde"-knap, der startede en ondsindet download i stedet for at starte applikationen.

Det falske installationsprogram, "ZoomApp_v.3.14.dmg," udførte et script ved navn "ZoomApp.file", der bad brugerne om at indtaste deres systemadgangskoder.

Efter udførelse implementerede scriptet en skjult eksekverbar fil, ".ZoomApp", som forsøgte at få adgang til følsomme oplysninger, herunder browsercookies, Keychain-data og kryptovaluta wallet -legitimationsoplysninger.

Disse data blev komprimeret og overført til en ondsindet server forbundet med en IP, der blev markeret af flere trusselsefterretningstjenester.

Yderligere undersøgelser afslørede, at malwaren var rettet mod værdifulde aktiver ved at fokusere på brugere, der sandsynligvis vil have betydelige cryptocurrency-saldi.

Angriberne brugte en kombination af social engineering og avancerede kodningsteknikker til at omgå sikkerhedsprotokoller, hvilket gjorde fidusen sværere at opdage.

Deres evne til at efterligne en betroet platform som Zoom demonstrerer den voksende sofistikering af phishing-operationer.

Malwaren, identificeret som en trojaner, gennemgik statisk og dynamisk analyse.

Det viste kapaciteter til at dekryptere data, udtrække systemoplysninger og få adgang til private nøgler og tegnebogsmnemonics.

Disse handlinger muliggjorde tyveri af cryptocurrency fra ofre, hvor angribere angiveligt brugte russisksprogede scripts og et back-end-system placeret i Holland.

On-chain tracking afslører stjålet Ethereum

SlowMist brugte sit anti-hvidvaskværktøj, MistTrack, til at spore stjålet kryptovaluta.

Over $1 million i digitale aktiver, inklusive Ethereum (ETH), USD0++ og MORPHO, blev overført på tværs af platforme som Binance, Gate.io og Bybit.

En hackers adresse konsoliderede 296 ETH, som blev videredistribueret til flere platforme.

En anden tegnebog, der var knyttet til fidusen, udførte små ETH-transaktioner til næsten 8.800 adresser, der dækkede transaktionsgebyrer.

Disse stjålne midler blev efterfølgende samlet og konverteret til Tether (USDT) og andre kryptovalutaer via børser som FixedFloat og Binance.

Hvordan påvirker dette kryptosikkerheden?

Denne phishing-kampagne understreger den stigende sofistikering af cyberangreb rettet mod brugere af kryptovaluta.

Angribere udnyttede populære platforme som Zoom og udnyttede avancerede teknikker til at stjæle private oplysninger og aktiver.

Hændelsen fremhæver behovet for øget årvågenhed, robuste sikkerhedsprotokoller og brugeruddannelse for at forhindre yderligere udnyttelse i det hastigt udviklende digitale aktivrum.

Regeringer og kryptobørser bliver opfordret til at forbedre deres foranstaltninger til at afsløre svindel og udvikle stærkere modforanstaltninger til at bekæmpe sådanne angreb.

Dette inkluderer at øge bevidstheden blandt brugerne om at genkende phishing-ordninger og at indføre multifaktorautentificering for at sikre deres tegnebøger.