損失超100萬美元，假Zoom會議釣魚分析

作者|Reborn, Lisa

編輯|Liz

背景

近期，X 上多位用戶報告了一種偽裝成Zoom 會議連結的釣魚攻擊手法，其中一受害者在點擊惡意Zoom 會議連結後安裝了惡意軟體，導致加密資產被盜，損失規模達百萬美元。在此背景下，慢霧安全團隊對這類釣魚事件和攻擊手法展開分析，並追蹤駭客的資金流向。

(https://x.com/lsp8940/status/1871350801270296709)

釣魚連結分析

駭客使用形如“app[.]us4zoom[.]us”的網域偽裝成正常Zoom 會議鏈接，頁面與真Zoom 會議高度相似，當用戶點擊“啟動會議”按鈕，便會觸發下載惡意安裝包，而非啟動本機Zoom 用戶端。

透過對上述網域探測，我們發現了駭客的監控日誌位址(https[:]//app[.]us4zoom[.]us/error_log)。

解密發現，這是腳本嘗試透過Telegram API 發送訊息時的日誌條目，使用的語言為俄語。

該網站27 天前已部署上線，駭客可能是俄羅斯人，並且從11 月14 號開始尋找目標投馬，然後透過Telegram API 監控是否有目標點擊釣魚頁面的下載按鈕。

惡意軟體分析

該惡意安裝套件檔案名稱為“ZoomApp_v.3.14.dmg”，以下是該Zoom 釣魚軟體開啟的介面，誘導使用者在Terminal 中執行ZoomApp.file 惡意腳本，且執行過程中還會誘導使用者輸入本機密碼。

以下是該惡意檔案的執行內容：

對上述內容解碼後發現這是一個惡意的osascript 腳本。

繼續分析發現，該腳本查找一個名為“.ZoomApp”的隱藏的可執行檔並在本地運行。我們對原始安裝套件「ZoomApp_v.3.14.dmg」進行磁碟分析，發現安裝套件確實隱藏了一個名為「.ZoomApp」的可執行檔。

惡意行為分析

靜態分析

我們將該二進位檔案上傳到威脅情報平台分析，發現該檔案已經被標記為惡意檔案。

(https://www.virustotal.com/gui/file/e4b6285e183dd5e1c4e9eaf30cec886fd15293205e706855a48b30c890cbf5f2)

透過靜態反組譯分析，下圖為此二進位檔案的入口程式碼，用於資料解密和腳本執行。

下圖是資料部分，可以發現大部分資訊都經過了加密和編碼。

透過資料解密後發現該二進位檔案最終同樣執行惡意的osascript 腳本（完整解密程式碼已分享至：https://pastebin.com/qRYQ44xa），該腳本會收集使用者裝置上的資訊並傳送到背景。

下圖是枚舉不同插件ID 路徑資訊的部分程式碼。

下圖是讀取電腦KeyChain 資訊的部分程式碼。

惡意程式碼採集完系統資訊、瀏覽器資料、加密錢包資料、Telegram 資料、Notes 筆記資料和Cookie 資料等資訊後，會將它們壓縮並發送至駭客控制的伺服器(141.98.9.20)。

由於惡意程式在執行時誘導使用者輸入密碼，且後續的惡意腳本也會擷取電腦中KeyChain 資料（可能包含使用者儲存在電腦上的各種密碼），駭客收集後就會嘗試解密數據，取得使用者的錢包助記詞、私鑰等敏感資訊，從而竊取用戶的資產。

根據分析，駭客伺服器的IP 位址位於荷蘭，目前已被威脅情報平台標記為惡意。

(https://www.virustotal.com/gui/ip-address/141.98.9.20)

動態分析

在虛擬環境下動態執行該惡意程式並分析進程，下圖為惡意程式擷取本機​​資料進程和傳送資料到背景的進程監控資訊。

MistTrack 分析

我們使用鏈上追蹤工具MistTrack 分析受害者提供的駭客地址0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac：駭客地址獲利超100 萬美金，包括USD0++、MORPHO 和ETH；其中，USD0++ 和MORPHO ETH。

根據MistTrack 顯示，駭客地址曾收到來自地址0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e 轉入的小額ETH，疑似為駭客地址提供手續費。該地址（0xb01c）的收入來源只有一個地址，卻轉出小額ETH 到近8,800 個地址，似乎是一個「專門提供手續費的平台」。

篩選該地址（0xb01c）轉出物件中被標記為惡意的地址，關聯到兩個釣魚地址，其中一個被標記為Pink Drainer，擴展分析這兩個釣魚地址，資金基本上轉移到ChangeNOW 和MEXC。

接著分析被盜資金的轉出情況，共有296.45 ETH 轉移到新地址0xdfe7c22a382600dcffdde2c51aaa73d788ebae95。

新地址（0xdfe7）的首筆交易時間為2023 年7 月，涉及多條鏈，目前餘額為32.81 ETH。

新位址（0xdfe7）主要的ETH 轉出路徑如下：

• 200.79 ETH -> 0x19e0…5c98f
• 63.03 ETH -> 0x41a2…9c0b
• 8.44 ETH -> 兌換為15,720 USDT
• 14.39 ETH -> Gate.io

以上擴充位址後續的轉出與多個平台如Bybit, Cryptomus.com, Swapspace, Gate.io, MEXC 關聯，且與被MistTrack 標記為Angel Drainer 和Theft 的多個位址相關。除此之外，目前有99.96 ETH 停留在地址0x3624169dfeeead9f3234c0ccd38c3b97cecafd01。

新地址（0xdfe7）的USDT 交易痕跡也非常多，被轉移到Binance, MEXC, FixedFloat 等平台。

總結

本次分享的釣魚途徑是駭客透過偽裝成正常Zoom 會議鏈接，誘導用戶下載並執行惡意軟體。惡意軟體通常具備收集系統資訊、竊取瀏覽器資料和取得加密貨幣錢包資訊等多重危害功能，並將資料傳輸至駭客控制的伺服器。這類攻擊通常結合了社會工程攻擊和木馬攻擊技術，使用者稍有不慎便會中招。慢霧安全團隊建議使用者在點擊會議連結前謹慎驗證，避免執行來源不明的軟體和指令，安裝防毒軟體並定期更新。更多的安全知識建議閱讀慢霧安全團隊出品的《區塊鏈黑暗森林自救手冊》：https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md 。