Hackers usam links falsos do Zoom para atingir usuários de criptomoedas e roubar US$ 1 milhão: relatório

Um sofisticado golpe de phishing direcionado a usuários de criptomoedas foi descoberto, explorando links falsos de reuniões do Zoom para distribuir malware e roubar ativos.

A operação, revelada pela empresa de segurança de blockchain SlowMist, viu hackers imitando a plataforma do Zoom para comprometer informações confidenciais, incluindo chaves privadas e credenciais de carteira.

Esta campanha maliciosa, ativa desde novembro de 2024, resultou em perdas financeiras significativas, com mais de US$ 1 milhão rastreados na carteira Ethereum de um hacker.

Os atacantes utilizaram malware avançado e técnicas de ofuscação, enfatizando o crescente risco de ameaças cibernéticas na indústria de criptomoedas.

Links falsos do Zoom são usados para roubar criptomoedas

Os hackers usaram um domínio de phishing, “app[.]us4zoom[.]us”, projetado para replicar a interface do Zoom.

As vítimas foram enganadas para clicar em um botão “Iniciar reunião” que iniciou um download malicioso em vez de iniciar o aplicativo.

O instalador falso, “ZoomApp_v.3.14.dmg”, executou um script chamado “ZoomApp.file”, solicitando que os usuários inserissem suas senhas do sistema.

Após a execução, o script implantou um arquivo executável oculto, “.ZoomApp”, que tentou acessar informações confidenciais, incluindo cookies do navegador, dados do KeyChain e credenciais de wallet para criptomoedas .

Esses dados foram compactados e transmitidos para um servidor malicioso associado a um IP sinalizado por vários serviços de inteligência de ameaças.

Investigações posteriores revelaram que o malware visava ativos de alto valor, concentrando-se em usuários que provavelmente tinham saldos significativos em criptomoedas.

Os atacantes usaram uma combinação de engenharia social e técnicas de codificação avançadas para contornar os protocolos de segurança, tornando o golpe mais difícil de detectar.

A capacidade deles de se fazer passar por uma plataforma confiável como o Zoom demonstra a crescente sofisticação das operações de phishing.

O malware, identificado como um trojan, foi submetido a análises estáticas e dinâmicas.

Ele demonstrou capacidade de descriptografar dados, extrair credenciais do sistema e acessar chaves privadas e mnemonics de carteira.

Essas ações permitiram o roubo de criptomoedas das vítimas, com os atacantes supostamente utilizando scripts em russo e um sistema de back-end localizado na Holanda.

Rastreamento na cadeia revela Ethereum roubado

A SlowMist empregou sua ferramenta antilavagem de dinheiro, MistTrack, para rastrear criptomoedas roubadas.

Mais de US$ 1 milhão em ativos digitais, incluindo Ethereum (ETH), USD0++ e MORPHO, foram transferidos entre plataformas como Binance, Gate.io e Bybit.

O endereço de um hacker consolidou 296 ETH, que foram distribuídos para várias plataformas.

Outra carteira vinculada ao golpe executou pequenas transações ETH em quase 8.800 endereços, cobrindo as taxas de transação.

Esses fundos roubados foram posteriormente agregados e convertidos em Tether (USDT) e outras criptomoedas por meio de exchanges como FixedFloat e Binance.

Como isso afeta a segurança das criptomoedas?

Esta campanha de phishing ressalta a crescente sofisticação dos ataques cibernéticos que visam usuários de criptomoedas.

Explorando plataformas populares como o Zoom, os invasores usaram técnicas avançadas para roubar informações e ativos privados.

O incidente destaca a necessidade de maior vigilância, protocolos de segurança robustos e educação do usuário para evitar novas explorações no espaço de ativos digitais em rápida evolução.

Governos e exchanges criptomoedas estão sendo incentivados a melhorar suas medidas de detecção de fraudes e desenvolver contramedidas mais eficazes para combater esses ataques.

Isso inclui aumentar a conscientização dos usuários sobre como reconhecer esquemas de phishing e adotar autenticação multifator para proteger suas carteiras.