Hakerzy wykorzystują fałszywe linki do Zoom, aby atakować użytkowników kryptowalut i ukraść 1 mln dolarów: raport

Ujawniano wyrafinowane oszustwo phishingowe, które miało na celu użytkowników kryptowalut. Wykorzystywano w nim fałszywe linki do spotkań na Zoomie w celu dystrybucji złośliwego oprogramowania i kradzieży aktywów.

Operacja, ujawniona przez firmę zajmującą się bezpieczeństwem blockchain SlowMist, polegała na tym, że hakerzy naśladowali platformę Zoom, aby uzyskać dostęp do poufnych informacji, w tym kluczy prywatnych i danych logowania do portfeli.

Ta złośliwa kampania, trwająca od listopada 2024 r., spowodowała znaczne straty finansowe, a ponad 1 milion dolarów przekazano na portfel Ethereum hakerów.

Atakujący wykorzystali zaawansowane techniki złośliwego oprogramowania i ukrywania, co podkreśla rosnące ryzyko cyberzagrożeń w branży kryptowalut.

Fałszywe linki do Zoomu wykorzystywane do kradzieży kryptowalut

Hakerzy wykorzystali domenę phishingową „app[.]us4zoom[.]us”, która miała na celu odwzorowanie interfejsu Zoom.

Ofiary zostały oszukane i kliknęły przycisk „Rozpocznij spotkanie”, co spowodowało zainicjowanie złośliwego pobrania zamiast uruchomienia aplikacji.

Fałszywy instalator „ZoomApp_v.3.14.dmg” uruchomił skrypt o nazwie „ZoomApp.file”, prosząc użytkowników o podanie haseł systemowych.

Po uruchomieniu skryptu rozpakowano ukryty plik wykonywalny o nazwie „.ZoomApp”, który próbował uzyskać dostęp do poufnych informacji, w tym plików cookie przeglądarki, danych KeyChain i danych uwierzytelniających portfel do kryptowalut .

Dane te zostały skompresowane i przesłane na złośliwy serwer powiązany z adresem IP oznaczonym przez wiele usług wykrywania zagrożeń.

Dalsze dochodzenie wykazało, że złośliwe oprogramowanie atakowało wartościowe aktywa, koncentrując się na użytkownikach, którzy prawdopodobnie posiadali znaczne salda kryptowalut.

Atakujący wykorzystali połączenie inżynierii społecznej i zaawansowanych technik kodowania, aby obejść protokoły bezpieczeństwa, co utrudnia wykrycie oszustwa.

Ich umiejętność podszywania się pod zaufaną platformę, taką jak Zoom, świadczy o coraz większej wyrafinowaniu działań phishingowych.

Malware, zidentyfikowany jako trojan, został poddany analizie statycznej i dynamicznej.

Wykazał on zdolność do odszyfrowania danych, wyodrębnienia danych uwierzytelniających systemu oraz uzyskania dostępu do kluczy prywatnych i mnemoników portfeli.

Dzięki tym działaniom udało się ukraść kryptowaluty ofiarom, a atakujący rzekomo wykorzystali skrypty w języku rosyjskim oraz system back-end zlokalizowany w Holandii.

Śledzenie w łańcuchu bloków ujawnia skradzione Ethery

Firma SlowMist wykorzystała swoje narzędzie do walki z praniem pieniędzy, MistTrack, do śledzenia skradzionych kryptowalut.

Przekazano ponad 1 milion dolarów w aktywach cyfrowych, w tym Ethereum (ETH), USD0++ i MORPHO, między platformami takimi jak Binance, Gate.io i Bybit.

Adres jednego hakera zgromadził 296 ETH, które następnie zostały rozdzielone między wiele platform.

Inny portfel powiązany z oszustwem wykonał niewielkie transakcje ETH na niemal 8800 adresów, pokrywając opłaty transakcyjne.

Ukradzione środki zostały następnie zgromadzone i przekształcone w Tether (USDT) oraz inne kryptowaluty za pośrednictwem giełd, takich jak FixedFloat i Binance.

Jak to wpływa na bezpieczeństwo kryptowalut?

Kampania phishingowa ta podkreśla rosnącą sofistykuację ataków cybernetycznych wymierzonych w użytkowników kryptowalut.

Atakujący wykorzystali popularne platformy, takie jak Zoom, stosując zaawansowane techniki, aby ukraść prywatne informacje i aktywa.

Incydent ten podkreśla potrzebę zwiększonej czujności, solidnych protokołów bezpieczeństwa i edukacji użytkowników w celu zapobiegania dalszej eksploatacji w szybko rozwijającej się przestrzeni aktywów cyfrowych.

Rządy i giełdy kryptowalut są zachęcane do wzmocnienia środków wykrywania oszustw i opracowania skuteczniejszych środków przeciwdziałania takim atakom.

Obejmuje to zwiększanie świadomości użytkowników na temat rozpoznawania oszustw phishingowych oraz wdrażanie uwierzytelniania wieloskładnikowego w celu zabezpieczenia ich portfeli.