区块链安全公司 SlowMist 最近的一份分析报告显示,一个伪装成 Zoom 会议邀请函的复杂网络钓鱼活动已导致数百万加密货币被盗。 攻击者利用用户对常用通信平台的信任,成功部署了恶意软件,入侵系统并窃取敏感数据,包括加密货币钱包。 这些钓鱼链接旨在模仿合法的 Zoom 会议邀请函,将用户导向一个欺诈性域名 "app[.]us4zoom[.]us",该域名与真正的 Zoom 界面非常相似。 点击 "启动会议 "按钮后,用户不会启动 Zoom 客户端,而是会下载一个名为 "ZoomApp_v.3.14.dmg "的恶意安装包。
据 SlowMist 称,该网站的后台日志显示了俄语脚本通过 Telegram API 监控下载的证据。 "报告称:"自 11 月 14 日以来,他们一直以受害者为目标,利用 Telegram API 监控是否有人点击了钓鱼页面上的下载按钮。
下载并执行后,假冒的 Zoom 应用程序会提示用户输入系统密码,这一步骤有助于更深入地渗透。 该恶意软件使用一个名为 "ZoomApp.file "的脚本来执行附加代码,最终激活了一个名为".ZoomApp "的隐藏可执行文件。 该程序系统地收集敏感数据,包括
系统信息
浏览器数据
加密货币钱包密钥
Telegram 和 Notes 数据
Cookie 和 KeyChain 密码
SlowMist 使用 MistTrack 链上跟踪工具,确定了黑客的地址 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac,该地址已积累了超过 100 万美元的被盗资金,包括 ETH、USD0++ 和 MORPHO。 被盗资产被换成了 296 个 ETH,其中一部分随后通过 Binance、Gate.io 和 Swapspace 等平台进行了洗钱。
有趣的是,SlowMist 发现了一个支持地址 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e,该地址涉嫌充当交易费提供者,向近 8800 个地址转移少量 ETH。 SlowMist 强调了用户保持警惕的重要性,建议个人:在点击会议链接之前先进行验证;避免执行未知文件或命令;定期更新并使用信誉良好的杀毒软件;使用强大的多层防御系统保护加密货币资产。 正如报告所总结的那样:"这类攻击通常结合了社交工程和木马技术,使用户容易受到攻击"。 该公司还建议查阅《区块链黑暗森林自我防护手册》等资源,以获取全面的安全提示。