背景
近期,X 上多位用戶報告了一種偽裝成Zoom 會議連結的釣魚攻擊手法,其中一受害者在點擊惡意Zoom 會議連結後安裝了惡意軟體,導致加密資產被盜,損失規模達百萬美元。在此背景下,慢霧安全團隊對這類釣魚事件和攻擊手法展開分析,並追蹤駭客的資金流向。
(https://x.com/lsp8940/status/1871350801270296709)
釣魚連結分析
駭客使用形如“app[.]us4zoom[.]us」的網域名稱偽裝成正常Zoom 會議鏈接,頁面與真Zoom 會議高度相似,當用戶點擊「啟動會議」按鈕,便會觸發下載惡意安裝包,而非啟動本地Zoom 客戶端。
透過對上述網域探測,我們發現了駭客的監控日誌地址(https[:]//app[.]us4zoom[.]us/error_log)。
解密發現,這是腳本嘗試透過Telegram API 發送訊息時的日誌條目,使用的語言為俄語。
該網站27 天前已部署上線,駭客可能是俄羅斯人,並且從11 月14 號開始尋找目標投馬,然後透過Telegram API 監控是否有目標點擊釣魚頁面的下載按鈕。
惡意軟體分析
該惡意安裝包檔案名稱為“ZoomApp_v.3.14.dmg”,以下是該Zoom 釣魚軟體開啟的介面,誘導使用者在Terminal 中執行ZoomApp.file 惡意腳本,且執行過程中還會誘導使用者輸入本機密碼。
以下是該惡意檔案的執行內容:
對上述內容解碼後發現這是一個惡意的osascript 腳本。
繼續分析發現,該腳本查找一個名為“.ZoomApp”的隱藏的可執行檔並在本地運行。我們對原始安裝套件「ZoomApp_v.3.14.dmg」進行磁碟分析,發現安裝套件確實隱藏了一個名為「.ZoomApp」的可執行檔。
惡意行為分析
靜態分析
我們將該二進位檔案上傳到威脅情報平台分析,發現該檔案已經被標記為惡意檔案。
(https://www.virustotal.com/gui/file/e4b6285e183dd5e1c4e9eaf30cec886fd15293205e706855a48b30c890cbf5f2)
透過靜態反組譯分析,下圖為此二進位檔案的入口程式碼,用於資料解密和腳本執行。
下圖是資料部分,可以發現大部分資訊都經過了加密和編碼。
透過資料解密後發現該二進位檔案最終同樣執行惡意的osascript 腳本(完整解密程式碼已分享至:https://pastebin.com/qRYQ44xa),該腳本會收集使用者裝置上的資訊並傳送到背景。
下圖是枚舉不同插件ID 路徑資訊的部分程式碼。
下圖是讀取電腦KeyChain 資訊的部分程式碼。
惡意程式碼採集完系統資訊、瀏覽器資料、加密錢包資料、Telegram 資料、Notes 筆記資料和Cookie 資料等資訊後,會將它們壓縮並發送至駭客控制的伺服器(141.98.9.20)。
由於惡意程式在執行時誘導使用者輸入密碼,且後續的惡意腳本也會擷取電腦中KeyChain 資料(可能包含使用者儲存在電腦上的各種密碼),駭客收集後就會嘗試解密數據,取得使用者的錢包助記詞、私鑰等敏感資訊,從而竊取用戶的資產。
根據分析,駭客伺服器的IP 位址位於荷蘭,目前已被威脅情報平台標記為惡意。
(https://www.virustotal.com/gui/ip-address/141.98.9.20)
動態分析
在虛擬環境下動態執行該惡意程式並分析進程,下圖為惡意程式擷取本機資料進程和傳送資料到背景的進程監控資訊。
MistTrack 分析
我們使用鏈上追蹤工具MistTrack 分析受害者提供的駭客地址0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac:駭客地址獲利超100 萬美金,包括USD0++、MORPHO 和ETH;其中,USD0++ 和MORPHO ETH。
根據MistTrack 顯示,駭客地址曾收到來自地址0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e 轉入的小額ETH,疑似為駭客地址提供手續費。該地址(0xb01c)的收入來源只有一個地址,卻轉出小額ETH 到近8,800 個地址,似乎是一個「專門提供手續費的平台」。
篩選該地址(0xb01c)轉出物件中被標記為惡意的地址,關聯到兩個釣魚地址,其中一個被標記為Pink Drainer,擴展分析這兩個釣魚地址,資金基本上轉移到ChangeNOW 和MEXC。
接著分析被盜資金的轉出情況,共有296.45 ETH 轉移到新地址0xdfe7c22a382600dcffdde2c51aaa73d788ebae95。
新地址(0xdfe7)的首筆交易時間為2023 年7 月,涉及多條鏈,目前餘額為32.81 ETH。
新位址(0xdfe7)主要的ETH 轉出路徑如下:
200.79 ETH -> 0x19e0…5c98f
63.03 ETH -> 0x41a2…9c0b
8.44 ETH -> 兌換為15,720 USDT
14.39 ETH -> Gate.io
以上擴充位址後續的轉出與多個平台如Bybit, Cryptomus.com, Swapspace, Gate.io, MEXC 關聯,且與被MistTrack 標記為Angel Drainer 和Theft 的多個位址相關。除此之外,目前有99.96 ETH 停留在地址0x3624169dfeeead9f3234c0ccd38c3b97cecafd01。
新地址(0xdfe7)的USDT 交易痕跡也非常多,被轉出到Binance, MEXC, FixedFloat 等平台。
總結
本次分享的釣魚途徑是駭客透過偽裝成正常Zoom 會議鏈接,誘導用戶下載並執行惡意軟體。惡意軟體通常具備收集系統資訊、竊取瀏覽器資料和取得加密貨幣錢包資訊等多重危害功能,並將資料傳輸至駭客控制的伺服器。這類攻擊通常結合了社會工程攻擊和木馬攻擊技術,使用者稍有不慎便會中招。慢霧安全團隊建議使用者在點擊會議連結前謹慎驗證,避免執行來源不明的軟體和指令,安裝防毒軟體並定期更新。更多的安全知識建議閱讀慢霧安全團隊出品的《區塊鏈黑暗森林自救手冊》:https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md 。
