背景
近期�����,X上多位用戶報(bào)告了一種偽裝成Zoom會議鏈接的釣魚攻擊手法���,其中一受害者在點(diǎn)擊惡意Zoom會議鏈接后安裝了惡意軟件���,導(dǎo)致加密資產(chǎn)被盜��,損失規(guī)模達(dá)百萬美元�����。在此背景下���,慢霧安全團(tuán)隊(duì)對這類釣魚事件和攻擊手法展開分析,并追蹤黑客的資金流向�����。
通過靜態(tài)反匯編分析���,下圖為該二進(jìn)制文件的入口代碼,用于數(shù)據(jù)解密和腳本執(zhí)行�����。
下圖是枚舉不同插件ID路徑信息的部分代碼�。
動(dòng)態(tài)分析
在虛擬環(huán)境下動(dòng)態(tài)執(zhí)行該惡意程序并分析進(jìn)程,下圖為惡意程序采集本機(jī)數(shù)據(jù)進(jìn)程和發(fā)送數(shù)據(jù)到后臺的進(jìn)程監(jiān)控信息�。
MistTrack分析
我們使用鏈上追蹤工具M(jìn)istTrack分析受害者提供的黑客地址0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac:黑客地址獲利超100萬美金,包括USD0++、MORPHO和ETH����;其中,USD0++和MORPHO被兌換為296ETH���。
總結(jié)
本次分享的釣魚途徑是黑客通過偽裝成正常Zoom會議鏈接��,誘導(dǎo)用戶下載并執(zhí)行惡意軟件����。惡意軟件通常具備收集系統(tǒng)信息����、竊取瀏覽器數(shù)據(jù)和獲取Crypto錢包信息等多重危害功能,并將數(shù)據(jù)傳輸至黑客控制的服務(wù)器�����。這類攻擊通常結(jié)合了社會工程學(xué)攻擊和木馬攻擊技術(shù)�,用戶稍有不慎便會中招。慢霧安全團(tuán)隊(duì)建議用戶在點(diǎn)擊會議鏈接前謹(jǐn)慎驗(yàn)證��,避免執(zhí)行來源不明的軟件和命令�����,安裝殺毒軟件并定期更新。更多的安全知識建議閱讀慢霧安全團(tuán)隊(duì)出品的《Blockchain黑暗森林自救手冊》:https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md����。
