Совсем недавно пользователи сообщили о фишинговых атаках, использующих поддельные ссылки на Zoom, что привело к краже криптоактивов на миллионы долларов. Команда SlowMist провела анализ этой инцидента, разобрав методы атак и пути движения средств.
Анализ фишинговых ссылок
Злоумышленники использовали домен, похожий на настоящий домен Zoom, чтобы маскировать свою атаку. При нажатии на кнопку 'Запустить встречу' начиналась загрузка вредоносного программного обеспечения, а не настоящего Zoom-клиента. Анализ показал, что злоумышленники с использованием API Telegram отслеживали, кто нажимал на кнопку загрузки.
Анализ вредоносного ПО
Файл вредоносного ПО назывался "ZoomApp_v.3.14.dmg" и заставлял пользователей вводить системный пароль. Это ПО исполняло скрипт, который собирал и отправлял данные на сервер злоумышленников, позволяя им получать доступ к чувствительной информации, такой как пароли и данные криптокошельков.
Анализ вредоносной активности
Анализ показал, что вредоносный код собирает и отправляет данные о системе, браузере и криптокошельках пользователей на сервер злоумышленников в Нидерландах. Используя инструмент MistTrack, было установлено, что hackersких адресов было получено более 1 миллиона долларов, включая ETH и другие криптовалюты, которые затем были перемещены на различные платформы.
Фишинговые атаки, использующие ссылки на Zoom, представляют серьезную угрозу безопасности, объединяя приемы социальной инженерии и трояны. Команда по безопасности SlowMist советует пользователям быть внимательными к ссылкам на встречи и использовать антивирусное ПО для защиты своих данных.
