Krypto-Betrüger verwenden gefälschte Zoom-Malware, um Geld zu stehlen

Eine neue Krypto-Malware zielt auf Benutzer der Cloud-basierten Videokonferenzplattform Zoom ab. Die Malware leitet Benutzer auf eine bösartige Website um, um ihre Krypto-Assets zu stehlen.

Die bösartige Website wurde am 22. Juli vom Cybersicherheitsingenieur „NFT_Dreww“ entdeckt und ahmt den ursprünglichen Zoom-Videoanruf-Link stark nach.

Beginnt mit Social Engineering

Der Angriff beginnt zunächst damit, dass der Betrüger auf das Opfer zugeht und versucht, es zu einem Videoanruf zu verleiten. NFT_Dreww sagt, dass gängige Taktiken darin bestehen, dass der Angreifer Angel-Investitionsmöglichkeiten anbietet oder das Opfer bittet, als Gast an X-Räumen teilzunehmen.

Die X-Profile der Betrüger sind so gestaltet, dass sie wie durchschnittliche Teilnehmer am Kryptomarkt aussehen. Um legitim zu wirken, schmücken sie sich oft mitNFT-Profilbildern und geben vor, mit verschiedenen Projekten in Verbindung zu stehen.

Der Betrug funktioniert, indem gefälschte Zoom-URLs wie *.us50web[.]us erstellt werden, die legitimen URLs wie usXXweb.zoom[.]us ähneln. Sie enthalten echte Meeting-IDs und Passwörter in den gefälschten URLs, um sie authentisch erscheinen zu lassen.

NFT_Dreww betonte, dass das „-“ in der URL Teil der Top-Level-Domain und nicht einer Subdomain sei, was viele Benutzer in die Irre führe.

Unterschied zwischen der ursprünglichen Zoom-Domäne und der bösartigen Domäne. Quelle: NFT_Dreww auf X

Wenn ein Benutzer der Teilnahme zustimmt, bestehen die Angreifer darauf, nur Zoom zu verwenden, und behaupten, ihr Team stehe bereits in Bereitschaft.

Wie es funktioniert

Sobald der Benutzer auf den Link klickt, wird er auf eine bösartige, aber identisch aussehende Zoom-Seite mit einem Ladebildschirm umgeleitet, der hängengeblieben zu sein scheint.

Dort wird der Download einer Datei mit dem Namen „ZoomInstallerFull.exe“ ausgelöst und der Benutzer wird aufgefordert, die Datei zu installieren. Der Installationsvorgang sieht echt aus und zeigt sogar eine Seite mit den Allgemeinen Geschäftsbedingungen an.

Nach der Installation wird der Benutzer zum bösartigen Ladebildschirm zurückgeschickt, der ihn dann zu einer legitimen Zoom-URL weiterleitet. In der Zwischenzeit wurde die Malware bereits auf dem System des Opfers installiert.

Zunächst fügt sich die Malware selbst zur „Ausschlussliste von Windows Defender“ hinzu, wodurch die Sicherheitssoftware sie nicht blockieren kann. Anschließend extrahiert sie Benutzerinformationen aus dem System. Der gesamte Vorgang wird ausgeführt, während der Benutzer auf der gefälschten Zoom-Ladeseite festhängt.

Laut dem Sicherheitsexperten wurden durch den Betrug bereits mehrere Benutzer um mehr als 300.000 US-Dollar betrogen. Er riet den Benutzern, beim Klicken auf Links in sozialen Medien vorsichtig zu sein und das Herunterladen jeglicher Software zu vermeiden.

Social-Engineering-Betrügereien werden mit der Weiterentwicklung des Kryptosektors immer raffinierter. Am 2. Juli hackten Betrüger die offizielle E-Mail-Adresse der Ethereum Foundation und verschickten Phishing-E-Mails an mehr als 35.000 Benutzer.

Betrügereien dieser Art haben allein im ersten Halbjahr 2024 dazu geführt, dass Kryptowährungsvermögen im Wert von über 300 Millionen US-Dollar aus EVM-Ketten gestohlen wurde.