제목: 눈에 보이는 것이 실체가 아니다 | 가짜 Zoom 회의 피싱 분석
출처: 슬로우 미스트 (SlowMist)
배경
최근 X에서 여러 사용자들이 Zoom 회의 링크를 가장한 피싱 공격을 보고했습니다. 그 중 한 피해자가 악성 Zoom 회의 링크를 클릭한 후 악성 소프트웨어를 설치했고, 이로 인해 암호화폐 자산이 도난당해 100만 달러 규모의 손실이 발생했습니다. 이에 따라 슬로우 미스트 보안팀은 이러한 피싱 사건과 공격 기법을 분석하고 해커의 자금 흐름을 추적했습니다.
(https://x.com/lsp8940/status/1871350801270296709)
피싱 링크 분석
해커들은 "app[.]us4zoom[.]us" 형태의 도메인을 사용하여 정상적인 Zoom 회의 링크인 것처럼 위장했습니다. 웹페이지는 실제 Zoom 회의와 매우 유사하지만, 사용자가 "회의 시작" 버튼을 클릭하면 악성 설치 파일이 다운로드되어 로컬 Zoom 클라이언트가 실행되지 않습니다.
위 도메인을 조사한 결과, 해커의 모니터링 로그 주소(https[:]//app[.]us4zoom[.]us/error_log)를 발견했습니다.
해독 결과, 이는 스크립트가 텔레그램 API를 통해 메시지를 보내려 할 때의 로그 항목이며, 사용된 언어는 러시아어입니다.
이 사이트는 27일 전에 이미 배포되었으며, 해커는 러시아인일 가능성이 있고 11월 14일부터 타깃을 찾아 피싱 페이지의 다운로드 버튼 클릭을 텔레그램 API로 모니터링하고 있습니다.
악성 소프트웨어 분석
이 악성 설치 파일의 이름은 "ZoomApp_v.3.14.dmg"이며, 아래 이미지는 이 Zoom 피싱 소프트웨어가 열리는 화면으로, 사용자에게 Terminal에서 ZoomApp.file 악성 스크립트를 실행하도록 유도하고, 실행 중에 사용자의 비밀번호 입력을 요구합니다.
아래는 해당 악성 파일의 실행 내용입니다:
이를 디코딩하면 악성 osascript 스크립트인 것으로 확인됩니다.
추가 분석 결과, 이 스크립트는 ".ZoomApp"이라는 숨겨진 실행 파일을 찾아 로컬에서 실행합니다. 원본 설치 패키지 "ZoomApp_v.3.14.dmg"를 디스크 분석한 결과, 실제로 ".ZoomApp"이라는 실행 파일이 숨겨져 있었습니다.
악성 행위 분석
정적 분석
이 이진 파일을 위협 정보 플랫폼에 업로드하여 분석한 결과, 이 파일이 악성으로 표시되었습니다.
(https://www.virustotal.com/gui/file/e4b6285e183dd5e1c4e9eaf30cec886fd15293205e706855a48b30c890cbf5f2)
정적 역어셈블리 분석을 통해, 아래 이미지는 이 이진 파일의 진입점 코드로, 데이터 복호화와 스크립트 실행을 수행합니다.
아래 이미지는 데이터 부분으로, 대부분의 정보가 암호화 및 인코딩되어 있음을 확인할 수 있습니다.
데이터 복호화 후 발견된 악성 osascript 스크립트(전체 복호화 코드는 https://pastebin.com/qRYQ44xa에 공유)는 사용자 장치 정보를 수집하여 백엔드로 전송합니다.
아래 이미지는 다양한 플러그인 ID 경로 정보를 열거하는 부분 코드입니다.
아래 이미지는 컴퓨터 KeyChain 정보를 읽는 부분 코드입니다.
악성 코드는 시스템 정보, 브라우저 데이터, 암호화 지갑 데이터, 텔레그램 데이터, 메모 데이터, 쿠키 데이터 등을 수집한 후 압축하여 해커가 제어하는 서버(141.98.9.20)로 전송합니다.
악성 프로그램이 실행되는 동안 사용자에게 비밀번호 입력을 유도하고, 이후 악성 스크립트가 컴퓨터의 KeyChain 데이터(사용자가 컴퓨터에 저장한 다양한 비밀번호 포함)를 수집하므로, 해커는 이를 통해 사용자의 지갑 니모닉 단어, 개인 키 등의 민감한 정보를 탈취하여 자산을 훼손할 수 있습니다.
분석 결과, 해커 서버의 IP 주소는 네덜란드에 있으며, 현재 위협 정보 플랫폼에서 악성으로 표시되어 있습니다.
(https://www.virustotal.com/gui/ip-address/141.98.9.20)
동적 분석
가상 환경에서 이 악성 프로그램을 실행하고 프로세스를 분석한 결과, 아래 이미지는 악성 프로그램이 본 기기의 데이터를 수집하고 백엔드로 전송하는 과정을 보여줍니다.
MistTrack 분석
피해자가 제공한 해커 주소 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac를 MistTrack 체인 추적 도구로 분석한 결과, 해커 주소에서 100만 달러 이상의 수익이 발생했으며, USD0++, MORPHO, ETH 등이 포함되어 있었습니다. USD0++와 MORPHO는 296 ETH로 전환되었습니다.
MistTrack에 따르면, 해커 주소 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac로 소액의 ETH가 전송된 적이 있는데, 이는 주소 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e에서 온 것으로 보이며, 이 주소는 수수료를 제공하는 것으로 추정됩니다.
0xb01c 주소에서 소액의 ETH가 약 8,800개의 주소로 전송된 것을 확인했으며, 이는 "수수료 제공 플랫폼"으로 보입니다. 이 주소에서 전송된 대상 중 악성으로 표시된 주소를 필터링하면 두 개의 피싱 주소와 연관되어 있으며, 이 중 하나는 "Pink Drainer"로 표시되어 있습니다. 이 두 피싱 주소의 자금은 ChangeNOW와 MEXC로 대부분 전송되었습니다.
도난당한 자금의 전송 경로를 분석한 결과, 296.45 ETH가 새로운 주소 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95로 전송되었습니다.
새로운 주소 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95의 첫 거래 시간은 2023년 7월이며, 여러 체인에 걸쳐 있고 현재 잔액은 32.81 ETH입니다.
새로운 주소 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95의 주요 ETH 전송 경로는 다음과 같습니다:
· 200.79 ETH -> 0x19e0…5c98f
· 63.03 ETH -> 0x41a2…9c0b
· 8.44 ETH -> 15,720 USDT로 전환
· 14.39 ETH -> Gate.io
위 확장된 주
요약
이번에 공유된 피싱 방법은 해커가 정상적인 Zoom 회의 링크로 가장하여 사용자를 유도하여 악성 소프트웨어를 다운로드하고 실행하게 하는 것입니다. 악성 소프트웨어는 일반적으로 시스템 정보 수집, 브라우저 데이터 탈취, 암호화폐 지갑 정보 획득 등 다양한 위험 기능을 가지고 있으며, 수집된 데이터를 해커가 통제하는 서버로 전송합니다. 이러한 공격은 사회 공학적 공격과 트로이 목마 공격 기술을 결합하여 사용자가 조금만 부주의하면 피해를 당할 수 있습니다. 슬로우 미스트 보안팀은 사용자가 회의 링크를 클릭하기 전에 신중히 확인하고, 출처가 불분명한 소프트웨어와 명령어를 실행하지 않으며, 백신 소프트웨어를 설치하고 정기적으로 업데이트할 것을 권장합니다. 더 많은 보안 지식은 슬로우 미스트 보안팀이 제작한 '블록체인 암흑의 숲 자기 방어 핸드북'을 참고하시기 바랍니다: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md.
