Hackers gebruiken nep-Zoomlinks om cryptogebruikers te targeten en $ 1 miljoen te stelen: rapport

Er is een geavanceerde phishingfraude ontdekt die zich richt op gebruikers van cryptovaluta. De fraudeurs maken gebruik van nep-Zoom-vergaderlinks om malware te verspreiden en activa te stelen.

De operatie, die werd ontdekt door het blockchainbeveiligingsbedrijf SlowMist, zagen hackers de Zoom-platform nabootsen om gevoelige informatie te bemachtigen, waaronder privésleutels en walletgegevens.

Deze kwaadaardige campagne, die actief is sinds november 2024, heeft geleid tot aanzienlijke financiële verliezen. Er is meer dan $ 1 miljoen getraceerd naar de Ethereum-wallet van een hacker.

De aanvallers gebruikten geavanceerde malware- en verwarringstechnieken, wat benadrukt dat de risico's van cyberdreigingen in de crypto-industrie toenemen.

Neppe Zoom-links worden gebruikt om cryptovaluta te stelen

Hackers gebruikten een phishingdomein, “app[.]us4zoom[.]us”, dat is ontworpen om de interface van Zoom na te bootsen.

Slachtoffers werden misleid om op de knop 'Vergadering starten' te klikken, waardoor er in plaats van de applicatie een kwaadaardige download werd gestart.

De nep-installatieprogramma, “ZoomApp_v.3.14.dmg”, voerde een script uit met de naam “ZoomApp.file”, waarmee gebruikers werden gevraagd hun systeemwachtwoord in te voeren.

Bij uitvoering werd er een verborgen uitvoerbaar bestand, ".ZoomApp", geïnstalleerd dat probeerde toegang te krijgen tot gevoelige informatie, waaronder browsercookies, KeyChain-gegevens en gegevens van cryptocurrency wallet .

Deze gegevens werden gecomprimeerd en naar een kwaadaardige server verzonden die was gekoppeld aan een IP-adres dat door meerdere dreigingsinlichtingendiensten was gemarkeerd.

Uit verder onderzoek bleek dat de malware zich richtte op waardevolle activa door zich te concentreren op gebruikers die waarschijnlijk een aanzienlijk saldo aan cryptovaluta bezaten.

De aanvallers gebruikten een combinatie van sociale technieken en geavanceerde codering om de beveiligingsprotocollen te omzeilen. Hierdoor was de fraude moeilijker te detecteren.

Hun vermogen om zich voor te doen als een vertrouwd platform zoals Zoom, toont aan dat phishingoperaties steeds geavanceerder worden.

De malware, die als trojaans paard werd geïdentificeerd, werd onderworpen aan statische en dynamische analyse.

Het programma bleek in staat om gegevens te decoderen, systeemgegevens te extraheren en toegang te krijgen tot privésleutels en wallet-mnemonics.

Door deze acties konden cryptovaluta van slachtoffers worden gestolen. De aanvallers zouden hiervoor Russische scripts en een back-endsysteem in Nederland hebben gebruikt.

Dankzij tracking op de blockchain is gestolen Ethereum teruggevonden

SlowMist gebruikte zijn anti-witwasmiddel MistTrack om gestolen cryptovaluta op te sporen.

Er werden digitale activa ter waarde van meer dan $ 1 miljoen over platforms zoals Binance, Gate.io en Bybit overgemaakt, waaronder Ethereum (ETH), USD0++ en MORPHO.

Het adres van één hacker bevatte 296 ETH, dat vervolgens werd verdeeld over meerdere platforms.

Een andere portemonnee die aan de oplichting was gekoppeld, voerde kleine ETH-transacties uit naar bijna 8.800 adressen, waarbij de transactiekosten werden gedekt.

Deze gestolen fondsen werden vervolgens gebundeld en omgezet in Tether (USDT) en andere cryptovaluta via beurzen zoals FixedFloat en Binance.

Hoe heeft dit invloed op de beveiliging van cryptovaluta?

Deze phishingcampagne benadrukt de toenemende verfijning van cyberaanvallen op gebruikers van cryptovaluta.

Aanvallers maakten gebruik van populaire platforms zoals Zoom en zetten geavanceerde technieken in om persoonlijke informatie en activa te stelen.

Het incident benadrukt de noodzaak van een verhoogde waakzaamheid, robuuste beveiligingsprotocollen en gebruikerseducatie om verdere uitbuiting in de snel evoluerende digitale activa-ruimte te voorkomen.

Overheden en crypto exchanges worden opgeroepen om hun fraudedetectiemaatregelen te verbeteren en krachtigere tegenmaatregelen te ontwikkelen om dergelijke aanvallen te bestrijden.

Hierbij hoort het verhogen van de bewustwording onder gebruikers over het herkennen van phishing-schema's en het invoeren van multifactorauthenticatie om hun portemonnees te beveiligen.