Hakkerit käyttävät väärennettyjä Zoom-linkkejä kryptokäyttäjien kohdistamiseen ja varastavat miljoona dollaria: raportti

Kryptovaluuttojen käyttäjiin kohdistettu kehittynyt tietojenkalasteluhuijaus on paljastettu, ja se hyödyntää väärennettyjä Zoom-kokouslinkkejä haittaohjelmien levittämiseen ja omaisuuden varastamiseen.

Lohkoketjun tietoturvayhtiö SlowMist paljasti operaatiossa, jossa hakkerit matkivat Zoomin alustaa vaarantaakseen arkaluontoisia tietoja, kuten yksityisiä avaimia ja lompakkotietoja.

Tämä haitallinen kampanja, joka on ollut aktiivinen marraskuusta 2024 lähtien, on johtanut merkittäviin taloudellisiin tappioihin, ja yli miljoona dollaria on jäljitetty hakkerin Ethereum-lompakkoon.

Hyökkääjät käyttivät kehittyneitä haittaohjelmia ja hämärätekniikoita korostaen kyberuhkien kasvavaa riskiä kryptoalalla.

Väärennetyt Zoom-linkit on otettu käyttöön kryptovaluuttojen varastamiseksi

Hakkerit käyttivät tietojenkalasteluverkkotunnusta "app[.]us4zoom[.]us", joka oli suunniteltu jäljittelemään Zoomin käyttöliittymää.

Uhrit huijattiin napsauttamaan "Käynnistä kokous" -painiketta, joka käynnisti haitallisen latauksen sovelluksen käynnistämisen sijaan.

Väärennetty asennusohjelma "ZoomApp_v.3.14.dmg" suoritti skriptin nimeltä "ZoomApp.file", joka kehotti käyttäjiä syöttämään järjestelmäsalasanansa.

Suorituksen yhteydessä skripti otti käyttöön piilotetun suoritettavan tiedoston ".ZoomApp", joka yritti päästä käsiksi arkaluontoisiin tietoihin, mukaan lukien selaimen evästeet, avainniputiedot ja kryptovaluuttalompakko .

Nämä tiedot pakattiin ja lähetettiin haitalliseen palvelimeen, joka liittyy useiden uhkien tiedustelupalvelujen ilmoittamaan IP-osoitteeseen.

Lisätutkimukset paljastivat, että haittaohjelma kohdistui arvokkaaseen omaisuuteen keskittymällä käyttäjiin, joilla on todennäköisesti merkittäviä kryptovaluuttasaldoja.

Hyökkääjät käyttivät sosiaalisen suunnittelun ja kehittyneiden koodaustekniikoiden yhdistelmää ohittaakseen suojausprotokollat, mikä teki huijauksesta vaikeampaa havaita.

Heidän kykynsä esiintyä Zoomin kaltaisena luotettavana alustana on osoitus tietojenkalastelutoimintojen kehittyvyydestä.

Troijalaiseksi tunnistettu haittaohjelma käytiin läpi staattisen ja dynaamisen analyysin.

Se osoitti kykyä purkaa tietojen salaus, poimia järjestelmän tunnistetiedot ja käyttää yksityisiä avaimia ja lompakkomuistiinpanoja.

Nämä toimet mahdollistivat kryptovaluutan varastamisen uhreilta, ja hyökkääjien väitettiin käyttäneen venäjänkielisiä skriptejä ja Alankomaissa sijaitsevaa taustajärjestelmää.

Ketjun seuranta paljastaa varastetun Ethereumin

SlowMist käytti rahanpesun torjuntatyökaluaan MistTrackia varastetun kryptovaluutan jäljittämiseen.

Yli miljoona dollaria digitaalista omaisuutta, mukaan lukien Ethereum (ETH), USD0++ ja MORPHO, siirrettiin Binancen, Gate.io:n ja Bybitin kaltaisten alustojen välillä.

Yhden hakkerin osoite yhdisti 296 ETH:ta, joka jaettiin edelleen useille alustoille.

Toinen huijaukseen liittyvä lompakko suoritti pieniä ETH-tapahtumia lähes 8 800 osoitteeseen kattaen transaktiomaksut.

Nämä varastetut varat yhdistettiin myöhemmin ja muunnettiin Tetheriksi (USDT) ja muiksi kryptovaluutoiksi pörssien, kuten FixedFloat ja Binance, kautta.

Miten tämä vaikuttaa kryptoturvallisuuteen?

Tämä tietojenkalastelukampanja korostaa kryptovaluutan käyttäjiin kohdistuvien kyberhyökkäysten kehittyneempää kehitystä.

Hyödyntämällä suosittuja alustoja, kuten Zoom, hyökkääjät hyödynsivät kehittyneitä tekniikoita varastaakseen yksityisiä tietoja ja omaisuutta.

Tapaus korostaa tarvetta tehostaa valppautta, vankkoja suojausprotokollia ja käyttäjien koulutusta, jotta voidaan estää lisää hyväksikäyttöä nopeasti kehittyvässä digitaalisessa tilassa.

Hallituksia ja kryptopörssit kehotetaan tehostamaan petosten havaitsemistoimiaan ja kehittämään vahvempia vastatoimia tällaisten hyökkäysten torjumiseksi.

Tämä sisältää käyttäjien tietoisuuden lisäämisen tietojenkalastelujärjestelmien tunnistamisesta ja monivaiheisen todennuksen ottamista käyttöön lompakon turvaamiseksi.