Cointime

Cointime

Download App
iOS & Android

百聞は一見に如かず 偽のZoom会議フィッシング分析 |

Validated Project

著者 | リボーン

編集者 | リズ

背景

最近、多くのユーザーがこれに関連して、SlowMist セキュリティ チームは、このようなフィッシング事件や攻撃手法を分析し、ハッカーの資金の流れを追跡しています。

フィッシングリンク分析

ハッカーは「app[.]us4zoom[.]us」の形式でドメイン名を使用して、通常の Zoom ミーティングのリンクを偽装します。ユーザーが [ミーティングを開始] ボタンをクリックすると、このページは実際の Zoom ミーティングに非常に似ています。起動しないローカル Zoom クライアントのダウンロードをトリガーします。

上記ドメイン名を検出することで、ハッカーの監視ログアドレス(https[:]//app[.]us4zoom[.]us/error_log)を発見しました。

復号化により、これはスクリプトが Telegram API 経由でメッセージを送信しようとしたときのログ エントリであり、使用されている言語はロシア語であることが判明しました。

復号化により、これはスクリプトが Telegram API 経由でメッセージを送信しようとしたときのログ エントリであり、使用されている言語はロシア語であることが判明しました。

このサイトは 27 日前に配備および開設され、ハッカーはロシア人の可能性があり、11 月 14 日からフィッシング詐欺を行うターゲットを探しており、ターゲットがフィッシング ページのダウンロード ボタンをクリックするかどうかを Telegram API を通じて監視しています。

マルウェア分析

悪意のあるインストール パッケージのファイル名は「ZoomApp_v.3.14.dmg」です。以下は、Zoom フィッシング ソフトウェアによって開かれるインターフェイスです。これにより、ユーザーはターミナルで ZoomApp.file 悪意のあるスクリプトを実行するよう誘導され、さらにユーザーが自分のファイル名を入力するように誘導されます。実行プロセス中のローカルパスワード。

悪意のあるファイルの実行内容は以下のとおりです。

上記の内容を解読すると、悪意のある osascript スクリプトであることが判明しました。

分析を続けると、このスクリプトが「.ZoomApp」という名前の隠し実行可能ファイルを探し、それをローカルで実行していることが判明しました。元のインストール パッケージ「ZoomApp_v.3.14.dmg」のディスク分析を実行したところ、インストール パッケージには「.ZoomApp」という名前の実行可能ファイルが隠されていることがわかりました。

分析を続けると、このスクリプトが「.ZoomApp」という名前の隠し実行可能ファイルを探し、それをローカルで実行していることが判明しました。元のインストール パッケージ「ZoomApp_v.3.14.dmg」のディスク分析を実行したところ、インストール パッケージには「.ZoomApp」という名前の実行可能ファイルが隠されていることがわかりました。

悪意のある動作分析

静的解析

分析のためにバイナリ ファイルを脅威インテリジェンス プラットフォームにアップロードしたところ、ファイルが悪意のあるものとしてマークされていたことがわかりました。

https://www.virustotal.com/gui/file/e4b6285e183dd5e1c4e9eaf30cec886fd15293205e706855a48b30c890cbf5f2

静的逆アセンブリ分析により、次の図は、データの復号化とスクリプトの実行に使用されるバイナリ ファイルのエントリ コードを示しています。

下の図はデータ部分で、ほとんどの情報が暗号化およびエンコードされていることがわかります。

データを復号化した後、バイナリ ファイルは最終的に悪意のある osascript スクリプトも実行することが判明しました (完全な復号化コードは https://pastebin.com/qRYQ44xa で共有されています)。このスクリプトはユーザーのデバイスに関する情報を収集し、バックグラウンドに送信します。

以下の図は、さまざまなプラグイン ID のパス情報を列挙するコードの一部です。

下の図は、コンピューターのキーチェーン情報を読み取るコードの一部です。

悪意のあるコードは、システム情報、ブラウザ データ、暗号化されたウォレット データ、テレグラム データ、Notes ノート データ、Cookie データを収集した後、それらを圧縮してハッカー (141.98.9.20) が制御するサーバーに送信します。

悪意のあるプログラムは、実行中にユーザーにパスワードの入力を促し、その後の悪意のあるスクリプトもコンピューター内のキーチェーン データ (ユーザーがコンピューターに保存したさまざまなパスワードが含まれる可能性があります) を収集するため、ハッカーは次のことを試みます。データを収集した後に復号化し、ユーザーのパスワード、秘密鍵、その他の機密情報を取得し、ユーザーの資産を盗みます。

分析によると、ハッカーのサーバーの IP アドレスはオランダにあり、脅威インテリジェンス プラットフォームによって悪意のあるものとしてフラグが立てられています。

https://www.virustotal.com/gui/ip-address/141.98.9.20

動的解析

悪意のあるプログラムが仮想環境上で動的に実行され、プロセスが分析されると、以下の図はローカルのデータを収集し、バックグラウンドにデータを送信する悪意のあるプログラムのプロセス監視情報を示します。

ミストトラック分析

私たちはオンチェーン追跡ツール MistTrack を使用して、被害者から提供されたハッカー アドレス 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac を分析しました。このハッカー アドレスは USD0++、MORPHO、ETH を含む 100 万米ドル以上の利益をもたらし、その中には USD0++ と MORPHO が 296 ドルと交換されました。イーサリアム。

MistTrack によると、ハッカーアドレスはアドレス 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e から送金された少額の ETH を受け取っており、ハッカーアドレスの手数料を提供していた疑いがあります。このアドレス(0xb01c)の収入源は1つのアドレスだけですが、8,800近くのアドレスに少額のETHを送金する「手数料の提供に特化したプラットフォーム」だそうです。

アドレス (0xb01c) は、転送オブジェクト内で悪意のあるアドレスとしてマークされているかどうかスクリーニングされ、2 つのフィッシング アドレスに関連付けられており、そのうちの 1 つは Pink Drainer としてマークされていました。これら 2 つのフィッシング アドレスを徹底的に分析した後、資金は基本的に ChangeNOW に転送されました。そしてメキシコ。

次に、盗まれた資金の転送を分析すると、合計 296.45 ETH が新しいアドレス 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95 に転送されました。

新しいアドレス (0xdfe7) の最初のトランザクションは 2023 年 7 月に行われ、複数のチェーンが関与しており、現在の残高は 32.81 ETH です。

新しいアドレス (0xdfe7) の主な ETH 転送パスは次のとおりです。

200.79 ETH -> 0x19e0…5c98f

63.03 ETH -> 0x41a2…9c0b

8.44 ETH -> 15,720 USDTに換算

14.39 ETH -> Gate.io

上記の拡張アドレスのその後の転送は、Bybit、Cryptomus.com、Swapspace、Gate.io、MEXC などの複数のプラットフォームに関連付けられ、MistTrack によって Angel Drainer および Theft としてマークされた複数のアドレスに関連付けられていました。これに加えて、現在、アドレス 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01 に 99.96 ETH がスタックしています。

新しいアドレス (0xdfe7) には、Binance、MEXC、FixedFloat、その他のプラットフォームに転送された USDT トランザクションの痕跡も多数あります。

要約する

今回共有されたフィッシング手口は、ハッカーが通常のZoomミーティングのリンクを装い、ユーザーにマルウェアをダウンロードさせて実行させるというものだ。マルウェアは通常、システム情報の収集、ブラウザデータの窃取、仮想通貨ウォレット情報の取得など、複数の有害な機能を備えており、ハッカーが制御するサーバーにデータを送信します。この種の攻撃は通常、ソーシャル エンジニアリング攻撃とトロイの木馬攻撃手法を組み合わせたものであり、ユーザーが注意しないと被害に遭ってしまいます。 SlowMist セキュリティ チームは、ユーザーが会議リンクをクリックする前に慎重に確認すること、未知のソースからのソフトウェアやコマンドの実行を避けること、ウイルス対策ソフトウェアをインストールし定期的に更新することを推奨しています。セキュリティに関する詳しい知識については、SlowMist セキュリティ チームが作成した「Blockchain Dark Forest Self-Rescue Handbook」を読むことをお勧めします: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main /README_CN.md 。

コメント

全てのコメント

Recommended for you

  • 米上院銀行委員会の委員長は、ステーブルコインの利回りに関する新たな草案が早ければ今週中にも公表される可能性があると述べた。

    Cointimeの報道によると、上院銀行委員会の委員長を務めるティム・スコット上院議員は、ワシントンD.C.で開催されたブロックチェーンサミットで、議員らは早ければ今週中にも、少なくともステーブルコイン関連の条項を含む新たな法案草案を目にする可能性があると述べた。スコット議員は、法案の中で最も注目を集めているのはステーブルコインの利回り問題だが、議員らは引き続きこの問題に取り組んでいると指摘した。 スコット議員は、「今週中に最初の提案が提出されるだろう。もしそれが週末までに実現すれば、少なくとも法案の枠組みが形になりつつあるかどうかが分かるだろう。そうなれば、我々はより良​​い状況に立てると思う」と述べた。また、ステーブルコインの利回り問題に関して、民主党のアンジェラ・アルソブルックス上院議員、共和党のトム・ティリス上院議員、そしてホワイトハウス高官のパトリック・ウィット氏の尽力も、この進展に貢献していると述べた。 スコット氏は、過去1か月間の交渉で、ドナルド・トランプ大統領とその家族の暗号資産プロジェクトに対する議員の懸念、主要な規制機関における超党派代表の欠如、顧客確認(KYC)規制など、その他の未解決問題も取り上げられたと述べた。 スコット氏はまた、「倫理問題と定足数については、合意に非常に近づいていると思います。これは相手側にとっても重要な問題だと認識しているので、こちらも対応しています。また、いくつかの人事についても進展が見られており、これは良いニュースです。DeFiに関しては、マーク・ワーナー上院議員が注力している分野であり、マネーロンダリング対策(AML)は非常に重要な要素です。これらの問題についても前進していると思います」と述べた。

  • ゴールデンモーニングブリーフィング|3月18日の主要な夜間動向

    21:00~7:00 キーワード:ファントムウォレット、ストライプウォレット、オートノマスウォレット、イラン 1. イランは、米国とイスラエルが自国領土を使用することを容認する国に対して、合法的に攻撃できると主張している。 2. 米国CFTC(商品先物取引委員会)は、ファントムウォレットはブローカーとしての登録を必要としないと発表。 3. アリゾナ州司法長官は、予測マーケティング担当者のカルシ氏を刑事告発。 4. 米国国務省は、世界中のすべての在外公館に対し、「直ちに」安全保障評価を実施するよう命じた。 5. ロビンフッド・ベンチャーキャピタルは、ストライプウォレットとイレブンラボに約3500万ドルを投資。 6. GSRは、オートノマスウォレットとアーキテックを買収するために5700万ドルを投資し、暗号資産ファンド管理プラットフォームを構築。 7. 米国証券取引委員会(SEC)とCFTCは、ほとんどのデジタル資産は証券ではないとする新たな暗号資産ガイダンスを発表。

  • 米国証券取引委員会(SEC)と商品先物取引委員会(CFTC)は、仮想通貨に関する新たな見解を発表し、ほとんどのデジタル資産は証券の範疇には含まれないとした。

    Cointimeは3月18日、米国証券取引委員会(SEC)と商品先物取引委員会(CFTC)が暗号資産に関する68ページのガイダンス文書を公表し、ほとんどのデジタル資産は証券ではないと明記したと報じた。この新たな説明では、ステーブルコイン、デジタル商品、および「デジタル商品」トークンの分類が詳細に説明されており、これらはすべて証券ではないと両機関は述べている。また、「非証券暗号資産」がどのようにして証券になり得るのかを説明し、マイニング、プロトコルステーキング、エアドロップに連邦証券法がどのように適用されるのかを明確にしている。 SECはさらに、非証券デジタル資産が投資契約の対象となる仕組みについても説明している。SECの説明によると、「非証券暗号資産は、発行者が投資家に対し共同事業への投資を促し、必要な経営業務を行うという約束または表明を行い、かつ購入者がそこから利益を得ると期待する理由がある場合に、投資契約の対象となる」。

  • マスターカードは、ステーブルコイン企業であるBVNKを最大18億ドルで買収する計画だ。

    Cointimeの報道によると、Mastercardはステーブルコインインフラのスタートアップ企業であるBVNKを、条件付き買収額3億ドルを含め最大18億ドルで買収する計画だ。この買収は、BVNKとCoinbaseの約20億ドル規模の合併交渉が決裂してからわずか4ヶ月後のことである。両社は火曜日に発表した共同声明で、この取引を確認した。

  • Zixi.eth ·

    DexFV × OpenClawの詳細分析:AI駆動型オンチェーン資本市場インフラ

    DexFV × OpenClawの詳細分析:AI駆動型オンチェーン資本市場インフラ
  • Zixi.eth ·

    OpenClawのスキルでどうやってお金を稼ぐのですか?ANOME ONEと比べて、どちらの道があなたに合っていますか?

    OpenClawのスキルでどうやってお金を稼ぐのですか?ANOME ONEと比べて、どちらの道があなたに合っていますか?

  • ビットコインが7万5000ドルを突破

    市場データによると、BTCは75,000ドルを突破し、現在75,033.01ドルで取引されており、24時間で2.83%上昇しています。市場は著しい変動に見舞われているため、リスク管理には十分ご注意ください。

  • Zixi.eth ·

    OpenClawは非常に人気がありますが、一般の人々が本当に必要としているのはエビ養殖そのものではなく、彼らが直接参加できるような入り口です。

    OpenClawは非常に人気がありますが、一般の人々が本当に必要としているのはエビ養殖そのものではなく、彼らが直接参加できるような入り口です。
  • FusnChain ·

    FusnChainのメインネットがまもなくローンチされます。これは、金融取引のための世界初のパブリックブロックチェーンであり、PayFi時代に向けたオンチェーン金融取引インフラの到来を告げるものです。

    世界のWeb3インフラストラクチャ環境において、歴史的なパラダイムシフトが目前に迫っている。仮想通貨の世界と現実世界の資金の流れを結びつけることに特化した公式ネットワークであるFusnChainは、メインネットのローンチが間近であることを正式に発表した。

    FusnChainのメインネットがまもなくローンチされます。これは、金融取引のための世界初のパブリックブロックチェーンであり、PayFi時代に向けたオンチェーン金融取引インフラの到来を告げるものです。

  • ビットコインが7万1500ドルを突破

    市場データによると、BTCは71,500ドルを突破し、現在71,510.19ドルで取引されており、24時間で1.06%上昇しています。市場は著しい変動に見舞われているため、リスク管理には十分ご注意ください。

毎日の必読

人気のアクティビティ

RaveDAO at Terra Solis by Tomorrowland: A Female-Led Techno Night Where Web3 Culture Converges

RaveDAO at Terra Solis by Tomorrowland: A Female-Led Techno Night Where Web3 Culture Converges

April 30 - April 30
Dubai

人気のタグ

Cointime
Content
Company