ผู้แต่ง | รีบอร์น, ลิซ่า

บรรณาธิการ |. ลิซ

พื้นหลัง

ล่าสุดมีผู้ใช้งานจำนวนมาก ในบริบทนี้ ทีมรักษาความปลอดภัย SlowMist จะวิเคราะห์เหตุการณ์ฟิชชิ่งและวิธีการโจมตีดังกล่าว และติดตามกระแสเงินทุนของแฮ็กเกอร์

การวิเคราะห์ลิงก์ฟิชชิ่ง

แฮกเกอร์ใช้ชื่อโดเมนในรูปแบบ "app[.]us4zoom[.]us" เพื่อปลอมตัวเป็นลิงก์การประชุม Zoom ปกติ หน้าเว็บจะคล้ายกับการประชุม Zoom จริงอย่างมาก เมื่อผู้ใช้คลิกปุ่ม "เริ่มการประชุม" มันจะทริกเกอร์การดาวน์โหลดแพ็คเกจการติดตั้งที่เป็นอันตราย

ด้วยการตรวจจับชื่อโดเมนข้างต้น เราจึงค้นพบที่อยู่บันทึกการตรวจสอบของแฮ็กเกอร์ (https[:]//app[.]us4zoom[.]us/error_log)

การถอดรหัสเปิดเผยว่านี่คือรายการบันทึกเมื่อสคริปต์พยายามส่งข้อความผ่าน Telegram API และภาษาที่ใช้คือภาษารัสเซีย

การถอดรหัสเปิดเผยว่านี่คือรายการบันทึกเมื่อสคริปต์พยายามส่งข้อความผ่าน Telegram API และภาษาที่ใช้คือภาษารัสเซีย

ไซต์ดังกล่าวถูกนำไปใช้และเปิดตัวเมื่อ 27 วันที่ผ่านมา แฮกเกอร์อาจเป็นชาวรัสเซียและกำลังมองหาเป้าหมายที่จะทำการหลอกลวงแบบฟิชชิ่งตั้งแต่วันที่ 14 พฤศจิกายน จากนั้นตรวจสอบผ่าน Telegram API ว่าเป้าหมายใด ๆ คลิกที่ปุ่มดาวน์โหลดของหน้าฟิชชิ่ง

การวิเคราะห์มัลแวร์

ชื่อไฟล์ของแพ็คเกจการติดตั้งที่เป็นอันตรายคือ "ZoomApp_v.3.14.dmg" ต่อไปนี้คืออินเทอร์เฟซที่เปิดโดยซอฟต์แวร์ฟิชชิ่ง Zoom ซึ่งชักจูงให้ผู้ใช้เรียกใช้สคริปต์ที่เป็นอันตราย ZoomApp.file ใน Terminal และยังชักจูงให้ผู้ใช้ป้อน รหัสผ่านท้องถิ่นในระหว่างกระบวนการดำเนินการ

ต่อไปนี้เป็นเนื้อหาการดำเนินการของไฟล์ที่เป็นอันตราย:

การถอดรหัสเนื้อหาข้างต้นเผยให้เห็นว่าเป็นสคริปต์โอซาสคริปต์ที่เป็นอันตราย

การวิเคราะห์อย่างต่อเนื่องพบว่าสคริปต์ค้นหาไฟล์ปฏิบัติการที่ซ่อนอยู่ชื่อ ".ZoomApp" และเรียกใช้งานในเครื่อง เราทำการวิเคราะห์ดิสก์ในแพ็คเกจการติดตั้งดั้งเดิม "ZoomApp_v.3.14.dmg" และพบว่าแพ็คเกจการติดตั้งซ่อนไฟล์ปฏิบัติการที่ชื่อ ".ZoomApp"

การวิเคราะห์อย่างต่อเนื่องพบว่าสคริปต์ค้นหาไฟล์ปฏิบัติการที่ซ่อนอยู่ชื่อ ".ZoomApp" และเรียกใช้งานในเครื่อง เราทำการวิเคราะห์ดิสก์ในแพ็คเกจการติดตั้งดั้งเดิม "ZoomApp_v.3.14.dmg" และพบว่าแพ็คเกจการติดตั้งซ่อนไฟล์ปฏิบัติการที่ชื่อ ".ZoomApp"

การวิเคราะห์พฤติกรรมที่เป็นอันตราย

การวิเคราะห์แบบคงที่

เราอัปโหลดไฟล์ไบนารีไปยังแพลตฟอร์มข่าวกรองภัยคุกคามเพื่อทำการวิเคราะห์ และพบว่าไฟล์ดังกล่าวถูกทำเครื่องหมายว่าเป็นอันตราย

https://www.virustotal.com/gui/file/e4b6285e183dd5e1c4e9eaf30cec886fd15293205e706855a48b30c890cbf5f2

จากการวิเคราะห์การแยกส่วนแบบคงที่ รูปภาพต่อไปนี้จะแสดงโค้ดรายการของไฟล์ไบนารี ซึ่งใช้สำหรับการถอดรหัสข้อมูลและการดำเนินการสคริปต์

รูปภาพด้านล่างเป็นส่วนข้อมูล คุณจะเห็นว่าข้อมูลส่วนใหญ่ได้รับการเข้ารหัสและเข้ารหัสแล้ว

หลังจากถอดรหัสข้อมูลแล้ว พบว่าไฟล์ไบนารี่ได้เรียกใช้สคริปต์ osascript ที่เป็นอันตรายในที่สุด (มีการแชร์รหัสถอดรหัสที่สมบูรณ์ที่: https://pastebin.com/qRYQ44xa) สคริปต์นี้จะรวบรวมข้อมูลบนอุปกรณ์ของผู้ใช้และ ส่งไปที่พื้นหลัง

รูปด้านล่างเป็นส่วนหนึ่งของโค้ดที่ระบุข้อมูลพาธของ ID ปลั๊กอินต่างๆ

ภาพด้านล่างเป็นส่วนหนึ่งของโค้ดในการอ่านข้อมูล KeyChain ของคอมพิวเตอร์

หลังจากที่โค้ดที่เป็นอันตรายรวบรวมข้อมูลระบบ ข้อมูลเบราว์เซอร์ ข้อมูลกระเป๋าเงินที่เข้ารหัส ข้อมูลโทรเลข ข้อมูลบันทึกย่อของ Notes และข้อมูลคุกกี้ มันจะบีบอัดและส่งรหัสเหล่านั้นไปยังเซิร์ฟเวอร์ที่ควบคุมโดยแฮ็กเกอร์ (141.98.9.20)

เนื่องจากโปรแกรมที่เป็นอันตรายทำให้ผู้ใช้ป้อนรหัสผ่านเมื่อทำงาน และสคริปต์ที่เป็นอันตรายตามมาจะรวบรวมข้อมูล KeyChain ในคอมพิวเตอร์ด้วย (ซึ่งอาจรวมถึงรหัสผ่านต่างๆ ที่ผู้ใช้บันทึกไว้ในคอมพิวเตอร์) แฮกเกอร์จะพยายาม ถอดรหัสข้อมูลหลังจากรวบรวมและรับรหัสผ่านของผู้ใช้ คำช่วยจำ Wallet คีย์ส่วนตัว และข้อมูลที่ละเอียดอ่อนอื่น ๆ เพื่อขโมยทรัพย์สินของผู้ใช้

ตามการวิเคราะห์ ที่อยู่ IP ของเซิร์ฟเวอร์ของแฮ็กเกอร์นั้นตั้งอยู่ในเนเธอร์แลนด์ และถูกระบุว่าเป็นอันตรายโดยแพลตฟอร์มข่าวกรองภัยคุกคาม

https://www.virustotal.com/gui/ip-address/141.98.9.20

การวิเคราะห์แบบไดนามิก

โปรแกรมที่เป็นอันตรายถูกดำเนินการแบบไดนามิกในสภาพแวดล้อมเสมือนและกระบวนการได้รับการวิเคราะห์ รูปด้านล่างแสดงข้อมูลการตรวจสอบกระบวนการของโปรแกรมที่เป็นอันตรายซึ่งรวบรวมข้อมูลในเครื่องและส่งข้อมูลไปยังเบื้องหลัง

การวิเคราะห์ MistTrack

เราใช้เครื่องมือติดตามออนไลน์ MistTrack เพื่อวิเคราะห์ที่อยู่ของแฮ็กเกอร์ 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac ที่เหยื่อให้มา: ที่อยู่ของแฮ็กเกอร์สร้างรายได้มากกว่า 1 ล้านดอลลาร์สหรัฐ รวมถึง USD0++, MORPHO และ ETH ในจำนวนนั้น USD0++ และ MORPHO ถูกแลกเปลี่ยนเป็น 296 ผลประโยชน์ทับซ้อน

จากข้อมูลของ MistTrack ที่อยู่ของแฮ็กเกอร์ได้รับ ETH จำนวนเล็กน้อยที่โอนจากที่อยู่ 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e ซึ่งต้องสงสัยว่าจะให้ค่าธรรมเนียมการจัดการสำหรับที่อยู่ของแฮ็กเกอร์ แหล่งรายได้ของที่อยู่นี้ (0xb01c) เป็นเพียงที่อยู่เดียว แต่โอน ETH จำนวนเล็กน้อยไปยังที่อยู่เกือบ 8,800 แห่ง ดูเหมือนว่าจะเป็น "แพลตฟอร์มที่เชี่ยวชาญด้านค่าธรรมเนียมการจัดการ"

ที่อยู่ (0xb01c) ได้รับการคัดกรองสำหรับที่อยู่ที่ถูกทำเครื่องหมายว่าเป็นอันตรายในวัตถุการถ่ายโอน และมีความเกี่ยวข้องกับที่อยู่ฟิชชิ่งสองแห่ง ซึ่งหนึ่งในนั้นถูกทำเครื่องหมายเป็น Pink Drainer หลังจากการวิเคราะห์อย่างละเอียดเกี่ยวกับที่อยู่ฟิชชิ่งทั้งสองนี้ โดยพื้นฐานแล้วเงินก็ถูกโอนไปที่ ChangeNOW และเม็กซิโก

จากนั้นวิเคราะห์การโอนเงินที่ถูกขโมย จำนวน 296.45 ETH ถูกโอนไปยังที่อยู่ใหม่ 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95

การทำธุรกรรมครั้งแรกของที่อยู่ใหม่ (0xdfe7) คือในเดือนกรกฎาคม 2566 ซึ่งเกี่ยวข้องกับหลายเครือข่าย และยอดคงเหลือปัจจุบันคือ 32.81 ETH

เส้นทางการโอน ETH หลักของที่อยู่ใหม่ (0xdfe7) เป็นดังนี้:

200.79 อีทีเอช -> 0x19e0…5c98f

63.03 อีทีเอช -> 0x41a2…9c0b

8.44 ETH -> แปลงเป็น 15,720 USDT

14.39 ETH -> Gate.io

การถ่ายโอนที่อยู่เพิ่มเติมข้างต้นในภายหลังนั้นเชื่อมโยงกับหลายแพลตฟอร์ม เช่น Bybit, Cryptomus.com, Swapspace, Gate.io, MEXC และเชื่อมโยงกับที่อยู่หลายแห่งที่ทำเครื่องหมายเป็น Angel Drainer และการโจรกรรมโดย MistTrack นอกเหนือจากนั้น ปัจจุบันมี 99.96 ETH ติดค้างอยู่ที่ที่อยู่ 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01

นอกจากนี้ยังมีร่องรอยธุรกรรม USDT จำนวนมากตามที่อยู่ใหม่ (0xdfe7) ซึ่งถูกโอนไปยัง Binance, MEXC, FixedFloat และแพลตฟอร์มอื่น ๆ

สรุป

วิธีการฟิชชิ่งที่แชร์กันในครั้งนี้คือแฮกเกอร์ปลอมตัวเป็นลิงก์การประชุม Zoom ปกติเพื่อชักจูงให้ผู้ใช้ดาวน์โหลดและเรียกใช้มัลแวร์ มัลแวร์มักจะมีฟังก์ชันที่เป็นอันตรายหลายประการ เช่น การรวบรวมข้อมูลระบบ การขโมยข้อมูลเบราว์เซอร์ และการรับข้อมูลกระเป๋าเงินดิจิทัล และส่งข้อมูลไปยังเซิร์ฟเวอร์ที่ควบคุมโดยแฮกเกอร์ การโจมตีประเภทนี้มักจะรวมการโจมตีทางวิศวกรรมสังคมและเทคนิคการโจมตีด้วยม้าโทรจันเข้าด้วยกัน และผู้ใช้จะตกเป็นเหยื่อหากไม่ระวัง ทีมรักษาความปลอดภัย SlowMist แนะนำให้ผู้ใช้ตรวจสอบอย่างรอบคอบก่อนคลิกลิงก์การประชุม หลีกเลี่ยงการรันซอฟต์แวร์และคำสั่งจากแหล่งที่ไม่รู้จัก ติดตั้งซอฟต์แวร์ป้องกันไวรัส และอัปเดตเป็นประจำ สำหรับความรู้ด้านความปลอดภัยเพิ่มเติม ขอแนะนำให้อ่าน "คู่มือการช่วยเหลือตนเองของ Blockchain Dark Forest" ที่จัดทำโดยทีมรักษาความปลอดภัย SlowMist: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main /README_CN.md