Tiêu đề bài viết: Thấy không phải là tin tưởng | Phân tích lừa đảo cuộc họp giả Zoom
Nguồn: SlowMist
Bối cảnh
Gần đây, nhiều người dùng trên X đã báo cáo một phương thức tấn công lừa đảo giả mạo liên kết cuộc họp Zoom, trong đó một nạn nhân sau khi nhấp vào liên kết cuộc họp Zoom độc hại đã cài đặt phần mềm độc hại, dẫn đến mất tài sản mã hóa trị giá hàng triệu đô la. Trong bối cảnh này, nhóm an ninh SlowMist đã phân tích các sự kiện lừa đảo và phương thức tấn công này, đồng thời theo dõi dòng chảy tài chính của hacker.
(https://x.com/lsp8940/status/1871350801270296709)
Phân tích liên kết lừa đảo
Hacker sử dụng tên miền dạng "app[.]us4zoom[.]us" để giả mạo liên kết cuộc họp Zoom bình thường, trang web rất giống với cuộc họp Zoom thực, khi người dùng nhấp vào nút "Bắt đầu cuộc họp", sẽ kích hoạt tải xuống gói cài đặt độc hại, thay vì khởi chạy ứng dụng Zoom cục bộ.
Thông qua khám phá tên miền trên, chúng tôi đã tìm thấy địa chỉ nhật ký giám sát của hacker (https[:]//app[.]us4zoom[.]us/error_log).
Giải mã cho thấy đây là mục nhập nhật ký khi kịch bản cố gắng gửi tin nhắn qua API Telegram, sử dụng ngôn ngữ tiếng Nga.
Trang web này đã được triển khai 27 ngày trước, hacker có thể là người Nga và đã bắt đầu tìm kiếm mục tiêu từ ngày 14 tháng 11, sau đó theo dõi qua API Telegram xem có mục tiêu nào nhấp vào nút tải xuống trang lừa đảo hay không.
Phân tích phần mềm độc hại
Tệp cài đặt độc hại này có tên "ZoomApp_v.3.14.dmg", dưới đây là giao diện của phần mềm lừa đảo Zoom này, lừa người dùng thực hiện tệp ZoomApp.file độc hại trong Terminal và yêu cầu nhập mật khẩu máy tính trong quá trình thực thi.
Dưới đây là nội dung thực thi của tệp độc hại này:
Sau khi giải mã nội dung trên, chúng tôi phát hiện đây là một kịch bản osascript độc hại.
Tiếp tục phân tích, kịch bản này tìm kiếm một tệp có tên ".ZoomApp" ẩn và chạy nó cục bộ. Khi phân tích gói cài đặt ban đầu "ZoomApp_v.3.14.dmg", chúng tôi thực sự tìm thấy một tệp có tên ".ZoomApp" được ẩn bên trong.
Phân tích hành vi độc hại
Phân tích tĩnh
Chúng tôi đã tải tệp nhị phân này lên nền tảng thông tin đe dọa để phân tích, và phát hiện nó đã được đánh dấu là tệp độc hại.
(https://www.virustotal.com/gui/file/e4b6285e183dd5e1c4e9eaf30cec886fd15293205e706855a48b30c890cbf5f2)
Thông qua phân tích phân lắp tĩnh, hình dưới đây là mã nhập khẩu của tệp nhị phân này, dùng để giải mã dữ liệu và thực thi kịch bản.
Hình dưới đây là phần dữ liệu, có thể thấy hầu hết thông tin đều được mã hóa và mã hóa.
Sau khi giải mã dữ liệu, chúng tôi phát hiện tệp nhị phân này cuối cùng cũng thực thi kịch bản osascript độc hại (mã giải mã đầy đủ đã được chia sẻ tại: https://pastebin.com/qRYQ44xa), kịch bản này sẽ thu thập thông tin thiết bị của người dùng và gửi đến máy chủ phía sau.
Hình dưới đây là một phần mã liệt kê thông tin đường dẫn ID plugin khác nhau.
Hình dưới đây là một phần mã đọc thông tin KeyChain của máy tính.
Mã độc hại sau khi thu thập đầy đủ thông tin hệ thống, dữ liệu trình duyệt, dữ liệu ví mã hóa, dữ liệu Telegram, dữ liệu Ghi chú và dữ liệu Cookie, sẽ nén và gửi đến máy chủ do hacker kiểm soát (141.98.9.20).
Do chương trình độc hại trong quá trình chạy sẽ lừa người dùng nhập mật khẩu, và sau đó mã độc cũng sẽ thu thập dữ liệu KeyChain của máy tính (có thể bao gồm các mật khẩu khác mà người dùng lưu trên máy tính), hacker sau khi thu thập sẽ cố gắng giải mã dữ liệu, lấy được cụm từ hạt giống, private key của người dùng và các thông tin nhạy cảm khác, từ đó đánh cắp tài sản của người dùng.
Theo phân tích, địa chỉ IP máy chủ của hacker nằm ở Hà Lan, hiện đã được nền tảng thông tin đe dọa đánh dấu là độc hại.
(https://www.virustotal.com/gui/ip-address/141.98.9.20)
Phân tích động
Chạy chương trình độc hại này trong môi trường ảo và phân tích tiến trình, hình dưới đây là thông tin giám sát tiến trình thu thập dữ liệu máy tính và gửi dữ liệu đến máy chủ phía sau của chương trình độc hại.
Phân tích MistTrack
Chúng tôi sử dụng công cụ truy vết chuỗi MistTrack để phân tích địa chỉ của hacker được nạn nhân cung cấp 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac: địa chỉ hacker thu lợi nhuận hơn 1 triệu đô la, bao gồm USD0++, MORPHO và ETH; trong đó, USD0++ và MORPHO đã được quy đổi thành 296 ETH.
Theo MistTrack hiển thị, địa chỉ hacker từng nhận được số lượng nhỏ ETH từ địa chỉ 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e, nghi ngờ đây là địa chỉ cung cấp phí giao dịch cho địa chỉ hacker. Địa chỉ này (0xb01c) chỉ có một nguồn thu nhập, nhưng lại chuyển số lượng nhỏ ETH đến gần 8.800 địa chỉ, dường như là một "nền tảng chuyên cung cấp phí giao dịch".
Lọc các địa chỉ được đánh dấu là độc hại trong các địa chỉ được chuyển từ địa chỉ này (0xb01c), liên kết đến hai địa chỉ lừa đảo, một trong số đó được đánh dấu là Pink Drainer, mở rộng phân tích hai địa chỉ lừa đảo này, tài sản cơ bản được chuyển đến ChangeNOW và MEXC.
Tiếp theo phân tích tình hình chuyển ra của tài sản bị đánh cắp, tổng cộng 296,45 ETH đã được chuyển đến địa chỉ mới 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95.
Giao dịch đầu tiên của địa chỉ mới (0xdfe7) là vào tháng 7 năm 2023, liên quan đến nhiều chuỗi, hiện tại số dư là 32,81 ETH.
Các đường chuyển ETH chính của địa chỉ mới (0xdfe7) như sau:
· 200,79 ETH -> 0x19e0…5c98f
· 63,03 ETH -> 0x41a2…9c0
Tóm tắt
Phương thức lừa đảo được chia sẻ lần này là hacker giả mạo liên kết cuộc họp Zoom bình thường, lôi kéo người dùng tải và thực thi phần mềm độc hại. Phần mềm độc hại thường có các chức năng gây hại như thu thập thông tin hệ thống, đánh cắp dữ liệu trình duyệt và lấy thông tin ví tiền điện tử, sau đó truyền dữ liệu đến máy chủ do hacker kiểm soát. Loại tấn công này thường kết hợp kỹ thuật kỹ thuật kỹ thuật xã hội và mã độc, người dùng hơi sơ suất sẽ bị lừa. Đội ngũ an ninh SlowMist khuyến cáo người dùng cẩn thận xác minh trước khi nhấn vào liên kết cuộc họp, tránh thực thi phần mềm và lệnh không rõ nguồn gốc, cài đặt phần mềm diệt virus và cập nhật định kỳ. Để biết thêm kiến thức bảo mật, đề nghị đọc "Sổ tay tự cứu rừng đen blockchain" do đội ngũ an ninh SlowMist biên soạn: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md.
