Eksperci ds. bezpieczeństwa Blockchain ze SlowMist zgłosili oszustów kryptowalutowych dystrybuujących łącza phishingowe do platformy konferencji online Zoom.
Napastnicy utworzyli domenę app[.]us4zoom[.]us, której wygląd przypomina interfejs oficjalnej strony Zoom. Potencjalne ofiary zostały oszukane i kliknęły przycisk „Uruchom spotkanie”, po czym na urządzenie pobierany był złośliwy plik ZoomApp_v.3.14.dmg. Po zainstalowaniu plik uruchamiał skrypt o nazwie ZoomApp.file, a następnie wymagał od użytkowników wprowadzenia hasła.
Skrypt instalował ukryty plik .ZoomApp, który wyodrębniał poufne dane, w tym pliki cookie, dane uwierzytelniające portfela kryptowalut i dane logowania do komunikatora Telegram.
Analitycy SlowMist wyjaśnili, że złośliwe oprogramowanie może odszyfrować dane, wywnioskować ścieżki wtyczek i wykraść konta z urządzenia ofiary. Skradzione informacje są następnie kompresowane i wysyłane na serwer hakerów, który wykorzystuje je do uzyskania pełnego dostępu do portfeli kryptowalutowych ofiar. Program obowiązuje od listopada 2024 r. i już przyniósł wielomilionowe straty.
Badacze odkryli jeden z adresów powiązanych z hakerami, pod którym zlokalizowano skradzione aktywa kryptograficzne o wartości ponad 1 miliona dolarów. Aktywa te zostały zamienione na 296 ETH i przesłane na giełdy kryptowalut Binance i Bybit. Znaleziono kolejny adres, z którego wysłano niewielką ilość eteru na prawie 8800 adresów. W listopadzie ofiarą podobnego oszustwa padł użytkownik, który kliknął link phishingowy na Zoomie i stracił tokeny Gigachad (GIGA) o wartości ponad 6 milionów dolarów. Eksperci ds. bezpieczeństwa ze SlowMist namawiali użytkowników, aby dokładnie sprawdzali linki przed kliknięciem i nie postępuj zgodnie z podejrzanymi instrukcjami.
Wcześniej firma SlowMist namawiała użytkowników do większej ostrożności przy publikacjach w serwisie społecznościowym X – 80% komentarzy pod tweetami projektów kryptograficznych pozostawiają osoby atakujące.
Источник: bits.media
