Yazar Yeniden Doğmuş, Lisa |
Editör |
arka plan
Son zamanlarda birçok kullanıcı Bu bağlamda SlowMist güvenlik ekibi, bu tür phishing olaylarını ve saldırı yöntemlerini analiz ederek, hacker'ın fon akışını takip ediyor.
Kimlik avı bağlantı analizi
Bilgisayar korsanları, kendilerini normal Zoom toplantı bağlantıları gibi gizlemek için "app[.]us4zoom[.]us" biçimindeki alan adlarını kullanır. Sayfa, gerçek Zoom toplantısına oldukça benzerdir. Kullanıcı "Toplantıyı Başlat" düğmesini tıkladığında, kötü amaçlı bir kurulum paketinin indirilmesini tetikleyecektir.
Yukarıdaki alan adını tespit ederek bilgisayar korsanının izleme günlüğü adresini (https[:]//app[.]us4zoom[.]us/error_log) keşfettik.
Şifre çözme, betiğin Telegram API aracılığıyla mesaj göndermeye çalıştığında bunun bir günlük girişi olduğunu ve kullanılan dilin Rusça olduğunu ortaya çıkardı.
Şifre çözme, betiğin Telegram API aracılığıyla mesaj göndermeye çalıştığında bunun bir günlük girişi olduğunu ve kullanılan dilin Rusça olduğunu ortaya çıkardı.
Site 27 gün önce konuşlandırıldı ve başlatıldı. Bilgisayar korsanları Rus olabilir ve 14 Kasım'dan beri kimlik avı dolandırıcılığı yapmak için hedefler arıyor ve ardından herhangi bir hedefin kimlik avı sayfasının indirme düğmesine tıklayıp tıklamadığını Telegram API aracılığıyla izliyor.
Kötü amaçlı yazılım analizi
Kötü amaçlı kurulum paketinin dosya adı "ZoomApp_v.3.14.dmg" olup, Zoom phishing yazılımı tarafından açılan ve kullanıcıları ZoomApp.file kötü amaçlı komut dosyasını Terminal'de çalıştırmaya teşvik eden ve aynı zamanda kullanıcıların kendi şifrelerini girmelerine neden olan arayüz aşağıdadır. yürütme işlemi sırasında yerel şifre.
Kötü amaçlı dosyanın yürütme içeriği aşağıdadır:
Yukarıdaki içeriğin kodunun çözülmesi, bunun kötü amaçlı bir osascript komut dosyası olduğunu ortaya çıkardı.
Devam eden analizler, betiğin ".ZoomApp" adlı gizli bir yürütülebilir dosyayı aradığını ve onu yerel olarak çalıştırdığını ortaya çıkardı. Orijinal kurulum paketi "ZoomApp_v.3.14.dmg" üzerinde disk analizi yaptık ve kurulum paketinin ".ZoomApp" adlı yürütülebilir dosyayı gizlediğini tespit ettik.
Devam eden analizler, betiğin ".ZoomApp" adlı gizli bir yürütülebilir dosyayı aradığını ve onu yerel olarak çalıştırdığını ortaya çıkardı. Orijinal kurulum paketi "ZoomApp_v.3.14.dmg" üzerinde disk analizi yaptık ve kurulum paketinin ".ZoomApp" adlı yürütülebilir dosyayı gizlediğini tespit ettik.
Kötü niyetli davranış analizi
statik analiz
İkili dosyayı analiz için tehdit istihbaratı platformuna yükledik ve dosyanın kötü amaçlı olarak işaretlendiğini tespit ettik.
https://www.virustotal.com/gui/file/e4b6285e183dd5e1c4e9eaf30cec886fd15293205e706855a48b30c890cbf5f2
Statik sökme analizi yoluyla, aşağıdaki şekilde veri şifre çözme ve komut dosyası yürütme için kullanılan ikili dosyanın giriş kodu gösterilmektedir.
Aşağıdaki resim veri kısmıdır. Bilgilerin çoğunun şifrelendiğini ve kodlandığını görebilirsiniz.
Verilerin şifresi çözüldükten sonra, ikili dosyanın sonuçta kötü amaçlı bir osascript komut dosyası çalıştırdığı da tespit edildi (şifre çözme kodunun tamamı şu adreste paylaşılmıştır: https://pastebin.com/qRYQ44xa). arka plana gönder.
Aşağıdaki şekil, farklı eklenti kimliklerinin yol bilgilerini sıralayan kodun bir parçasıdır.
Aşağıdaki resim bilgisayarın KeyChain bilgilerini okumak için kullanılan kodun bir parçasıdır.
Kötü amaçlı kod, sistem bilgilerini, tarayıcı verilerini, şifrelenmiş cüzdan verilerini, Telegram verilerini, Notes not verilerini ve çerez verilerini topladıktan sonra bunları sıkıştıracak ve bilgisayar korsanı tarafından kontrol edilen bir sunucuya (141.98.9.20) gönderecektir.
Kötü amaçlı program, çalışırken kullanıcıyı parola girmeye teşvik ettiğinden ve ardından gelen kötü amaçlı komut dosyası, bilgisayardaki KeyChain verilerini de toplayacağından (bu, kullanıcı tarafından bilgisayara kaydedilen çeşitli parolaları içerebilir), bilgisayar korsanı, Verileri topladıktan sonra şifresini çözün ve kullanıcının cüzdan anımsatıcı sözcüklerini, özel anahtarlarını ve diğer hassas bilgilerini ele geçirin ve böylece kullanıcıların varlıklarını çalın.
Analize göre, bilgisayar korsanının sunucusunun IP adresi Hollanda'da bulunuyor ve tehdit istihbarat platformu tarafından kötü amaçlı olarak işaretleniyor.
https://www.virustotal.com/gui/ip-address/141.98.9.20
dinamik analiz
Kötü amaçlı program sanal ortamda dinamik olarak çalıştırılır ve süreç analiz edilir. Aşağıdaki şekil, kötü amaçlı programın yerel verileri toplayıp arka plana veri gönderme süreç izleme bilgilerini göstermektedir.
MistTrack Analizi
Kurban tarafından sağlanan 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac hacker adresini analiz etmek için zincir içi izleme aracı MistTrack'i kullandık: hacker adresi aralarında USD0++, MORPHO ve ETH'nin de bulunduğu 1 milyon ABD dolarından fazla kar elde etti; USD0++ ve MORPHO 296 ile değiştirildi; ETH.
MistTrack'e göre hacker adresi, hacker adresi için işlem ücreti sağladığından şüphelenilen 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e adresinden aktarılan az miktarda ETH aldı. Bu adresin (0xb01c) gelir kaynağı yalnızca bir adres ancak yaklaşık 8.800 adrese küçük miktarlarda ETH aktarıyor ve "işlem ücreti sağlama konusunda uzmanlaşmış bir platform" gibi görünüyor.
Adres (0xb01c), transfer nesnesinde kötü amaçlı olarak işaretlenen adreslere karşı tarandı ve biri Pink Drainer olarak işaretlenen iki kimlik avı adresiyle ilişkilendirildi. Bu iki kimlik avı adresinin kapsamlı analizinden sonra, fonlar temel olarak ChangeNOW'a aktarıldı. ve MEXC.
Ardından çalınan fonların transferi analiz edildiğinde 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95 yeni adresine toplam 296,45 ETH aktarıldı.
Yeni adresin (0xdfe7) ilk işlemi Temmuz 2023'te gerçekleşti ve birden fazla zinciri içeriyordu ve mevcut bakiye 32,81 ETH'dir.
Yeni adresin (0xdfe7) ana ETH aktarım yolu şu şekildedir:
200,79 ETH -> 0x19e0…5c98f
63.03 ETH -> 0x41a2…9c0b
8,44 ETH -> 15.720 USDT'ye dönüştürüldü
14.39 ETH -> Gate.io
Yukarıdaki genişletilmiş adreslerin sonraki aktarımları, Bybit, Cryptomus.com, Swapspace, Gate.io, MEXC gibi birden fazla platformla ilişkilendirildi ve MistTrack tarafından Angel Drainer ve Theft olarak işaretlenen birden fazla adresle ilişkilendirildi. Bunun ötesinde, şu anda 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01 adresinde sıkışmış 99,96 ETH bulunuyor.
Ayrıca yeni adreste (0xdfe7) Binance, MEXC,FixedFloat ve diğer platformlara aktarılan USDT işlemlerinin çok sayıda izi bulunuyor.
Özetle
Bu sefer paylaşılan kimlik avı yöntemi, bilgisayar korsanlarının, kullanıcıları kötü amaçlı yazılım indirip çalıştırmaya teşvik etmek için kendilerini normal Zoom toplantı bağlantıları gibi gizlemeleridir. Kötü amaçlı yazılımların genellikle sistem bilgilerini toplama, tarayıcı verilerini çalma ve kripto para cüzdanı bilgilerini elde etme gibi birden fazla zararlı işlevi vardır ve verileri bilgisayar korsanları tarafından kontrol edilen sunuculara iletir. Bu tür saldırılar genellikle sosyal mühendislik saldırıları ile Truva atı saldırı tekniklerini birleştirir ve kullanıcılar dikkatli olmadıkları takdirde bunların kurbanı olurlar. SlowMist güvenlik ekibi, kullanıcıların toplantı bağlantılarına tıklamadan önce dikkatlice doğrulama yapmalarını, bilinmeyen kaynaklardan gelen yazılım ve komutları çalıştırmaktan kaçınmalarını, anti-virüs yazılımı yüklemelerini ve düzenli olarak güncellemelerini öneriyor. Daha fazla güvenlik bilgisi için SlowMist Güvenlik Ekibi tarafından hazırlanan "Blockchain Karanlık Orman Kendini Kurtarma El Kitabı"nın okunması tavsiye edilir: https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main /README_CN.md .
Tüm Yorumlar