Hackere bruker falske Zoom-lenker for å målrette mot kryptobrukere, stjele $1M:-rapport

En sofistikert phishing-svindel rettet mot brukere av kryptovaluta har blitt avdekket, som utnytter falske Zoom-møtekoblinger for å distribuere skadelig programvare og stjele eiendeler.

Operasjonen, avslørt av blokkjedesikkerhetsfirmaet SlowMist, så hackere etterligne Zooms plattform for å kompromittere sensitiv informasjon, inkludert private nøkler og lommeboklegitimasjon.

Denne ondsinnede kampanjen, aktiv siden november 2024, har resultert i betydelige økonomiske tap, med over 1 million dollar sporet til en hackers Ethereum-lommebok.

Angriperne brukte avanserte skadevare- og tilsløringsteknikker, og understreket den økende risikoen for cybertrusler i kryptoindustrien.

Falske zoomlenker distribuert for å stjele kryptovaluta

Hackere brukte et phishing-domene, “app[.]us4zoom[.]us”, designet for å gjenskape Zooms grensesnitt.

Ofrene ble lurt til å klikke på en “Start møte”-knapp som startet en ondsinnet nedlasting i stedet for å starte programmet.

Det falske installasjonsprogrammet, «ZoomApp_v.3.14.dmg», utførte et skript kalt «ZoomApp.file», som ba brukerne om å skrive inn systempassordene sine.

Ved utførelse distribuerte skriptet en skjult kjørbar fil, “.ZoomApp”, som forsøkte å få tilgang til sensitiv informasjon, inkludert nettleserinformasjonskapsler, nøkkelringdata og legitimasjon for kryptovaluta lommebok .

Disse dataene ble komprimert og overført til en ondsinnet server knyttet til en IP flagget av flere trusseletterretningstjenester.

Ytterligere undersøkelser avslørte at skadevaren var rettet mot verdifulle eiendeler ved å fokusere på brukere som sannsynligvis har betydelige kryptovaluta-saldoer.

Angriperne brukte en kombinasjon av sosial teknikk og avanserte kodeteknikker for å omgå sikkerhetsprotokoller, noe som gjorde svindelen vanskeligere å oppdage.

Deres evne til å etterligne en pålitelig plattform som Zoom demonstrerer den økende sofistikeringen av phishing-operasjoner.

Skadevaren, identifisert som en trojaner, gjennomgikk statisk og dynamisk analyse.

Den viste muligheter til å dekryptere data, trekke ut systemlegitimasjon og få tilgang til private nøkler og lommebokminne.

Disse handlingene muliggjorde tyveri av kryptovaluta fra ofre, med angripere som angivelig brukte russiskspråklige skript og et back-end-system i Nederland.

Sporing på kjeden avslører stjålet Ethereum

SlowMist brukte sitt anti-hvitvaskingsverktøy, MistTrack, for å spore stjålet kryptovaluta.

Over 1 million dollar i digitale eiendeler, inkludert Ethereum (ETH), USD0++ og MORPHO, ble overført på tvers av plattformer som Binance, Gate.io og Bybit.

En hackers adresse konsoliderte 296 ETH, som ble videre distribuert til flere plattformer.

En annen lommebok knyttet til svindelen utførte små ETH-transaksjoner til nesten 8 800 adresser, og dekket transaksjonsgebyrer.

Disse stjålne midlene ble deretter samlet og konvertert til Tether (USDT) og andre kryptovalutaer via børser som FixedFloat og Binance.

Hvordan påvirker dette kryptosikkerheten?

Denne phishing-kampanjen understreker den økende sofistikeringen av nettangrep rettet mot brukere av kryptovaluta.

Ved å utnytte populære plattformer som Zoom, utnyttet angripere avanserte teknikker for å stjele privat informasjon og eiendeler.

Hendelsen fremhever behovet for økt årvåkenhet, robuste sikkerhetsprotokoller og brukeropplæring for å forhindre ytterligere utnyttelse i det raskt utviklende digitale ressursområdet.

Myndigheter og kryptobørser blir oppfordret til å forbedre sine tiltak for å oppdage svindel og utvikle sterkere mottiltak for å bekjempe slike angrep.

Dette inkluderer bevisstgjøring blant brukere om å gjenkjenne phishing-ordninger og ta i bruk multifaktorautentisering for å sikre lommeboken deres.