Hackare använder falska Zoom-länkar för att rikta in sig på kryptoanvändare, stjäla $1M:-rapport

En sofistikerad nätfiske-bedrägeri riktad mot användare av kryptovaluta har avslöjats, som utnyttjar falska Zoom-möteslänkar för att distribuera skadlig programvara och stjäla tillgångar.

Operationen, avslöjad av blockkedjesäkerhetsföretaget SlowMist, såg hackare härma Zooms plattform för att äventyra känslig information, inklusive privata nycklar och plånboksuppgifter.

Denna skadliga kampanj, aktiv sedan november 2024, har resulterat i betydande ekonomiska förluster, med över 1 miljon dollar spårad till en hackers Ethereum-plånbok.

Angriparna använde avancerad skadlig programvara och fördunklingstekniker, vilket betonade den växande risken för cyberhot i kryptoindustrin.

Falska zoomlänkar utplacerade för att stjäla kryptovaluta

Hackare använde en nätfiskedomän, "app[.]us4zoom[.]us", utformad för att replikera Zooms gränssnitt.

Offren lurades till att klicka på en "Starta möte"-knapp som initierade en skadlig nedladdning istället för att starta programmet.

Det falska installationsprogrammet, "ZoomApp_v.3.14.dmg", körde ett skript med namnet "ZoomApp.file", som uppmanade användare att ange sina systemlösenord.

Vid körning distribuerade skriptet en dold körbar fil, ".ZoomApp", som försökte komma åt känslig information, inklusive webbläsarcookies, Keychain-data och kryptovaluta plånbok plånboksuppgifter.

Dessa data komprimerades och överfördes till en skadlig server associerad med en IP som flaggats av flera hotunderrättelsetjänster.

Ytterligare undersökningar avslöjade att skadlig programvara riktade sig mot värdefulla tillgångar genom att fokusera på användare som sannolikt har betydande saldon i kryptovaluta.

Angriparna använde en kombination av social ingenjörskonst och avancerad kodningsteknik för att kringgå säkerhetsprotokoll, vilket gjorde bluffen svårare att upptäcka.

Deras förmåga att imitera en pålitlig plattform som Zoom visar den växande sofistikeringen av nätfiske.

Skadlig programvara, identifierad som en trojan, genomgick statisk och dynamisk analys.

Den visade möjligheter att dekryptera data, extrahera systemuppgifter och komma åt privata nycklar och plånboksminnen.

Dessa åtgärder möjliggjorde stöld av kryptovaluta från offer, med angripare som påstås ha använt ryskspråkiga skript och ett back-end-system i Nederländerna.

Spårning i kedjan avslöjar stulet Ethereum

SlowMist använde sitt verktyg mot penningtvätt, MistTrack, för att spåra stulen kryptovaluta.

Över 1 miljon dollar i digitala tillgångar, inklusive Ethereum (ETH), USD0++ och MORPHO, överfördes över plattformar som Binance, Gate.io och Bybit.

En hackers adress konsoliderade 296 ETH, som distribuerades vidare till flera plattformar.

En annan plånbok kopplad till bluffen utförde små ETH-transaktioner till nästan 8 800 adresser, som täckte transaktionsavgifter.

Dessa stulna pengar samlades sedan ihop och omvandlades till Tether (USDT) och andra kryptovalutor via börser som FixedFloat och Binance.

Hur påverkar detta kryptosäkerheten?

Denna nätfiskekampanj understryker den ökande sofistikeringen av cyberattacker som riktar sig till användare av kryptovaluta.

Genom att utnyttja populära plattformar som Zoom, utnyttjade angriparna avancerade tekniker för att stjäla privat information och tillgångar.

Incidenten belyser behovet av ökad vaksamhet, robusta säkerhetsprotokoll och användarutbildning för att förhindra ytterligare exploatering i det snabbt växande digitala tillgångsutrymmet.

Regeringar och kryptobörser uppmanas att förbättra sina åtgärder för att upptäcka bedrägerier och utveckla starkare motåtgärder för att bekämpa sådana attacker.

Detta inkluderar att öka medvetenheten bland användare om att känna igen nätfiskesystem och anta multifaktorautentisering för att säkra sina plånböcker.