損失超 100 萬美元，假 Zoom 會議釣魚分析

原文標(biāo)題：《眼見不為實(shí)｜假 Zoom 會議釣魚分析》

原文來源：慢霧科技

?

背景

近期，X 上多位用戶報(bào)告了一種偽裝成 Zoom 會議鏈接的釣魚攻擊手法，其中一受害者在點(diǎn)擊惡意 Zoom 會議鏈接后安裝了惡意軟件，導(dǎo)致加密資產(chǎn)被盜，損失規(guī)模達(dá)百萬美元。在此背景下，慢霧安全團(tuán)隊(duì)對這類釣魚事件和攻擊手法展開分析，并追蹤黑客的資金流向。

(https://x.com/lsp8940/status/1871350801270296709)

釣魚鏈接分析

黑客使用形如「app[.]us4zoom[.]us」的域名偽裝成正常 Zoom 會議鏈接，頁面與真 Zoom 會議高度相似，當(dāng)用戶點(diǎn)擊「啟動會議」按鈕，便會觸發(fā)下載惡意安裝包，而非啟動本地 Zoom 客戶端。

通過對上述域名探測，我們發(fā)現(xiàn)了黑客的監(jiān)控日志地址 (https[:]//app[.]us4zoom[.]us/error_log)。

解密發(fā)現(xiàn)，這是腳本嘗試通過 Telegram API 發(fā)送消息時(shí)的日志條目，使用的語言為俄語。

該站點(diǎn) 27 天前已部署上線，黑客可能是俄羅斯人，并且從 11 月 14 號便開始尋找目標(biāo)投馬，然后通過 Telegram API 監(jiān)控是否有目標(biāo)點(diǎn)擊釣魚頁面的下載按鈕。

惡意軟件分析

該惡意安裝包文件名為「ZoomApp_v.3.14.dmg」，以下是該 Zoom 釣魚軟件打開的界面，誘導(dǎo)用戶在 Terminal 中執(zhí)行 ZoomApp.file 惡意腳本，并且執(zhí)行過程中還會誘導(dǎo)用戶輸入本機(jī)密碼。

下面是該惡意文件的執(zhí)行內(nèi)容：

對上述內(nèi)容解碼后發(fā)現(xiàn)這是一個(gè)惡意的 osascript 腳本。

繼續(xù)分析發(fā)現(xiàn)，該腳本查找一個(gè)名為「.ZoomApp」的隱藏的可執(zhí)行文件并在本地運(yùn)行。我們對原始安裝包「ZoomApp_v.3.14.dmg」進(jìn)行磁盤分析，發(fā)現(xiàn)安裝包確實(shí)隱藏了一個(gè)名為「.ZoomApp」的可執(zhí)行文件。

惡意行為分析

靜態(tài)分析

我們將該二進(jìn)制文件上傳到威脅情報(bào)平臺分析，發(fā)現(xiàn)該文件已經(jīng)被標(biāo)記為惡意文件。

(https://www.virustotal.com/gui/file/e4b6285e183dd5e1c4e9eaf30cec886fd15293205e706855a48b30c890cbf5f2)

通過靜態(tài)反匯編分析，下圖為該二進(jìn)制文件的入口代碼，用于數(shù)據(jù)解密和腳本執(zhí)行。

下圖是數(shù)據(jù)部分，可以發(fā)現(xiàn)大部分信息都經(jīng)過了加密和編碼。

通過對數(shù)據(jù)解密后發(fā)現(xiàn)該二進(jìn)制文件最終同樣執(zhí)行惡意的 osascript 腳本（完整解密代碼已分享到：https://pastebin.com/qRYQ44xa），該腳本會收集用戶設(shè)備上的信息并發(fā)送到后臺。

下圖是枚舉不同插件 ID 路徑信息的部分代碼。

下圖是讀取電腦 KeyChain 信息的部分代碼。

惡意代碼采集完系統(tǒng)信息、瀏覽器數(shù)據(jù)、加密錢包數(shù)據(jù)、Telegram 數(shù)據(jù)、Notes 筆記數(shù)據(jù)和 Cookie 數(shù)據(jù)等信息后，會將它們壓縮并發(fā)送至黑客控制的服務(wù)器 (141.98.9.20)。

由于惡意程序在運(yùn)行時(shí)就誘導(dǎo)用戶輸入密碼，并且后續(xù)的惡意腳本也會采集電腦中 KeyChain 數(shù)據(jù)（可能包含用戶保存在電腦上的各種密碼），黑客收集后就會嘗試解密數(shù)據(jù)，獲得用戶的錢包助記詞、私鑰等敏感信息，從而盜取用戶的資產(chǎn)。

據(jù)分析，黑客服務(wù)器的 IP 地址位于荷蘭，目前已被威脅情報(bào)平臺標(biāo)記為惡意。

(https://www.virustotal.com/gui/ip-address/141.98.9.20)

動態(tài)分析

在虛擬環(huán)境下動態(tài)執(zhí)行該惡意程序并分析進(jìn)程，下圖為惡意程序采集本機(jī)數(shù)據(jù)進(jìn)程和發(fā)送數(shù)據(jù)到后臺的進(jìn)程監(jiān)控信息。

MistTrack 分析

我們使用鏈上追蹤工具 MistTrack 分析受害者提供的黑客地址 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac：黑客地址獲利超 100 萬美金，包括 USD0++、MORPHO 和 ETH；其中，USD0++ 和 MORPHO 被兌換為 296 ETH。

據(jù) MistTrack 顯示，黑客地址曾收到來自地址 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e 轉(zhuǎn)入的小額 ETH，疑似為黑客地址提供手續(xù)費(fèi)。該地址（0xb01c）的收入來源只有一個(gè)地址，卻轉(zhuǎn)出小額 ETH 到近 8,800 個(gè)地址，似乎是一個(gè)「專門提供手續(xù)費(fèi)的平臺」。

篩選該地址（0xb01c）轉(zhuǎn)出對象中被標(biāo)記為惡意的地址，關(guān)聯(lián)到兩個(gè)釣魚地址，其中一個(gè)被標(biāo)記為 Pink Drainer，擴(kuò)展分析這兩個(gè)釣魚地址，資金基本轉(zhuǎn)移到 ChangeNOW 和 MEXC。

接著分析被盜資金的轉(zhuǎn)出情況，共有 296.45 ETH 被轉(zhuǎn)移到新地址 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95。

新地址（0xdfe7）的首筆交易時(shí)間為 2023 年 7 月，涉及多條鏈，目前余額為 32.81 ETH。

新地址（0xdfe7）主要的 ETH 轉(zhuǎn)出路徑如下：

· 200.79 ETH -> 0x19e0…5c98f

· 63.03 ETH -> 0x41a2…9c0b

· 8.44 ETH -> 兌換為 15,720 USDT

· 14.39 ETH -> Gate.io

以上擴(kuò)展地址后續(xù)的轉(zhuǎn)出與多個(gè)平臺如 Bybit, Cryptomus.com, Swapspace, Gate.io, MEXC 關(guān)聯(lián)，且與被 MistTrack 標(biāo)記為 Angel Drainer 和 Theft 的多個(gè)地址相關(guān)。除此之外，目前有 99.96 ETH 停留在地址 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01。

?

新地址（0xdfe7）的 USDT 交易痕跡也非常多，被轉(zhuǎn)出到 Binance, MEXC, FixedFloat 等平臺。

總結(jié)

本次分享的釣魚途徑是黑客通過偽裝成正常 Zoom 會議鏈接，誘導(dǎo)用戶下載并執(zhí)行惡意軟件。惡意軟件通常具備收集系統(tǒng)信息、竊取瀏覽器數(shù)據(jù)和獲取加密貨幣錢包信息等多重危害功能，并將數(shù)據(jù)傳輸至黑客控制的服務(wù)器。這類攻擊通常結(jié)合了社會工程學(xué)攻擊和木馬攻擊技術(shù)，用戶稍有不慎便會中招。慢霧安全團(tuán)隊(duì)建議用戶在點(diǎn)擊會議鏈接前謹(jǐn)慎驗(yàn)證，避免執(zhí)行來源不明的軟件和命令，安裝殺毒軟件并定期更新。更多的安全知識建議閱讀慢霧安全團(tuán)隊(duì)出品的《區(qū)塊鏈黑暗森林自救手冊》：https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md。