損失超100萬美元，假Zoom會議釣魚分析

原文標題：《眼見不為實｜假Zoom 會議釣魚分析》

原文來源：慢霧科技

背景

近期，X 上多位用戶報告了一種偽裝成Zoom 會議連結的釣魚攻擊手法，其中一受害者在點擊惡意Zoom會議連結後安裝了惡意軟體，導致加密資產被盜，損失規模達百萬美元。在此背景下，慢霧安全團隊對這類釣魚事件和攻擊手法展開分析，並追蹤駭客的資金流向。

(https://x.com/lsp8940/status/1871350801270296709)

釣魚連結分析

駭客使用形如「app[.]us4zoom[.]us」的網域偽裝成正常Zoom 會議鏈接，頁面與真Zoom會議高度相似，當使用者點擊「啟動會議」按鈕，便會觸發下載惡意安裝包，而非啟動本機 Zoom 用戶端。

透過對上述網域偵測，我們發現了駭客的監控日誌位址( https[:]//app[.]us4zoom[.]us/error_log)。

解密發現，這是腳本嘗試透過Telegram API 發送訊息時的日誌條目，使用的語言為俄語。

該網站27 天前已部署上線，駭客可能是俄羅斯人，並且從11 月14 號開始尋找目標投馬，然後透過Telegram API 監控是否有目標點擊釣魚頁面的下載按鈕。

惡意軟體分析

該惡意安裝包檔案名稱為“ZoomApp_v.3.14.dmg”，以下是該Zoom 釣魚軟體開啟的介面，誘導用戶在Terminal 中執行ZoomApp.file惡意腳本，且執行過程中也會誘導使用者輸入本機密碼。

以下是該惡意檔案執行的內容：

對上述內容解碼後發現這是一個惡意的osascript 腳本。

繼續分析發現，該腳本查找一個名為「.ZoomApp」的隱藏的可執行檔並在本地運行。我們對原始安裝套件「ZoomApp_v.3.14.dmg」進行磁碟分析，發現安裝套件確實隱藏了一個名為「.ZoomApp」的可執行檔。

惡意行為分析

靜態分析

我們將該二進位檔案上傳到威脅情報平台分析，發現該檔案已經被標記為惡意檔案。

(https://www.virustotal.com/gui/file/e4b6285e183dd5e1c4e9eaf30cec886fd15293205 e706855a48b30c890cbf5f2)

透過靜態反組譯分析，下圖為該二進位檔案的入口程式碼，用於資料解密和腳本執行。

下圖是資料部分，可以發現大部分資訊都經過了加密和編碼。

透過對資料解密後發現該二進位檔案最終同樣執行惡意的osascript腳本（完整解密程式碼已分享至：https://pastebin.com/qRYQ44xa），腳本會收集使用者裝置上的資訊並傳送至背景。

下圖是枚舉不同外掛 ID 路徑資訊的部分程式碼。

下圖是讀取電腦 KeyChain 資訊的部分程式碼。

惡意程式碼擷取完系統資訊、瀏覽器資料、加密錢包資料、Telegram 資料、Notes 筆記資料和 Cookie 資料等資訊後，會將它們壓縮並傳送至駭客控制的伺服器 (141.98.9.20)。

由於惡意程式在執行時誘導使用者輸入密碼，而後續的惡意腳本也會採集電腦中KeyChain 數據（可能包含用戶保存在電腦上的各種密碼），駭客收集後就會嘗試解密數據，獲得用戶的錢包助記詞、私鑰等敏感信息，從而盜取用戶的資產。

據分析，駭客伺服器的 IP 位址位於荷蘭，目前已被威脅情報平台標記為惡意。

(https://www.virustotal.com/gui/ip-address/141.98.9.20)

動態分析

在虛擬環境下動態執行該惡意程式並分析進程，下圖為惡意程式擷取本機資料進程和傳送資料到背景的進程監控資訊。

MistTrack 分析

我們使用鏈上追蹤工具MistTrack 分析受害者提供的駭客位址0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac：駭客地址獲利超 100 萬美金，包括 USD0++、MORPHO 和 ETH；其中，USD0++ 和 MORPHO 被兌換為 296 ETH。

根據MistTrack 顯示，駭客位址曾收到來自位址0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e 轉入的小額ETH，疑似為駭客地址提供手續費。該地址（0xb01c）的收入來源只有一個地址，卻轉出小額 ETH 到近 8,800 個地址，似乎是一個「專門提供手續費的平台」。

篩選該位址（0xb01c）轉出物件中被標記為惡意的位址，關聯到兩個釣魚地址，其中一個被標記為Pink Drainer，擴展分析這兩個釣魚地址，資金基本上轉移到ChangeNOW 和MEXC。

接著分析被竊資金的轉出狀況，共有296.45 ETH 被轉移到新位址0xdfe7c22a382600dcffdde2c51aaa73d788ebae95。

新位址（0xdfe7）的首筆交易時間為2023 年7 月，涉及多條鏈，目前餘額為32.81 ETH。

新位址（0xdfe7）主要的ETH 轉出路徑如下：

· 200.79 ETH -> 0x19e0…5c98f

· 63.03 ETH -> 0x41a2…9c0b

· 8.44 ETH -> 兌換為15,720 USDT

· 14.39 ETH -> Gate.io

以上擴充位址後續的轉出與多個平台如Bybit, Cryptomus.com, Swapspace, Gate.io, MEXC 關聯，且與被 MistTrack 標記為 Angel Drainer 和 Theft 的多個位址相關。除此之外，目前有 99.96 ETH 停留在地址 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01。

新位址（0xdfe7）的USDT 交易痕跡也非常多，被轉出到Binance, MEXC, FixedFloat 等平台。

總結

本次分享的釣魚途徑是駭客透過偽裝成正常Zoom 會議鏈接，誘導用戶下載並執行惡意軟體。惡意軟體通常具備收集系統資訊、竊取瀏覽器資料和取得加密貨幣錢包資訊等多重危害功能，並將資料傳輸至駭客控制的伺服器。這類攻擊通常結合了社會工程攻擊和木馬攻擊技術，使用者稍有不慎便會中招。慢霧安全團隊建議使用者在點擊會議連結前謹慎驗證，避免執行來源不明的軟體和指令，安裝防毒軟體並定期更新。更多的安全知識建議閱讀慢霧安全團隊出品的《區塊鏈黑暗森林自救手冊》：https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md 。

原文連結

欢迎加入律动 BlockBeats 官方社群：

Telegram 订阅群：https://t.me/theblockbeats

Telegram 交流群：https://t.me/BlockBeats_App

Twitter 官方账号：https://twitter.com/BlockBeatsAsia