假Zoom會議釣魚事件頻傳，如何保障資金安全？

原文標題：《眼見不為實｜假 Zoom 會議釣魚分析》

原文來源：慢霧科技

編者語：近期，加密市場再次頻繁出現偽造 Zoom 會議連結的釣魚事件。先是 EurekaTrading 創辦人 Kuan Sun 因誤信假會議邀請，在安裝惡意外掛後，遭遇價值 1,300 萬美元釣魚攻擊。好在 Venus 協議緊急暫停運行，並在多支安全團隊協助下，最終成功追回資金。

9 月 8 日，加密交易社區 Fortune Collective 創始人 Alexander Choi 也發文披露，自己在 X 平台私信中與虛假項目建立聯繫，在交流中誤點偽裝成會議的詐騙鏈接，造成近 100 萬美元損失。

為何虛假 Zoom 會議釣魚為何屢屢得手？投資人又該如何避免，業內知名安全公司慢霧在 2024 年 12 月 27 日發布此文，提醒大家守護資金安全 ，原文如下：

背景

近期，X 上多位用戶報告了一種偽裝成 Zoom 攻擊會議連結後安裝了惡意軟體，導致加密資產被盜，損失規模達百萬美元。在此背景下，慢霧安全團隊對這類釣魚事件和攻擊手法展開分析，並追蹤駭客的資金流向。

(https://x.com/lsp8940/status/1871350801270296709)

釣魚連結分析

駭客使用形狀如「appoom Z會議高度相似，當使用者點擊「啟動會議」按鈕，便會觸發下載惡意安裝包，而非啟動本機 Zoom 用戶端。

透過上述網域偵測，我們發現了駭客的監控日誌位址 (https[:]//app[.]us4zoom[.]us/error_log)。

解密發現，這是腳本嘗試透過 Telegram API 發送訊息時的日誌條目，使用的語言為俄語。

該網站 27 天前已部署上線，駭客可能是俄羅斯人，並且從 11 月 14 號開始尋找目標投馬，然後透過 Telegram API 監控是否有目標點擊釣魚頁面的下載。

惡意軟體分析

該惡意安裝套件檔案名稱為「ZoomApp_v.3.14.dmg」，以下是該 Zoom 釣魚軟體開啟的介面惡意腳本，且執行過程中也會誘導使用者輸入本機密碼。

以下是該惡意檔案的執行內容：

對上述內容解碼腳本後發現這是一個惡意的腳本。

繼續分析發現，該腳本會尋找一個名為「.ZoomApp」的隱藏的執行檔並在本地運行。我們對原始安裝套件「ZoomApp_v.3.14.dmg」進行磁碟分析，發現安裝套件確實隱藏了一個名為「.ZoomApp」的可執行檔。

惡意行為分析

靜態分析

我們將該二進位檔案上傳到已標記為惡意檔案被標記為已被標記為惡意檔案。

(https://www.virustotal.com/gui/file/e4b6285e183dd5e1c4e9eaf30cec886fd15293205 e706855a48b30c890cbf5f2)

透過靜態反組譯分析，下圖為該二進位檔案的入口程式碼，用於資料解密和腳本執行。

下圖是資料部分，可以發現大部分資訊都經過了加密和編碼。

透過資料解密後發現該二進位檔案最終同樣執行惡意的 osascript 腳本（完整解密程式碼已分享至：https://pastebin.com/qRYQ44xa），此腳本會傳送到使用者裝置上的資訊。

下圖是枚舉不同外掛 ID 路徑資訊的部分程式碼。

下圖是讀取電腦 KeyChain 資訊的部分程式碼。

惡意程式碼採集完系統資訊、瀏覽器資料、加密錢包資料、Telegram 資料、Notes 筆記資料和 Cookie 資料等資訊後，會將它們壓縮並發送至駭客控制的伺服器 (141.98.99.98.

由於惡意程式在運行時就誘導用戶輸入密碼，且後續的惡意腳本也會擷取電腦中 KeyChain 資料（可能包含使用者儲存在電腦上的各種密碼鑰，且後續的惡意腳本也會擷取電腦中 KeyChain 資料（可能包含使用者儲存在電腦上的各種密碼金鑰，收集後將

據分析，駭客伺服器的 IP 位址位於荷蘭，目前已被威脅情報平台標記為惡意。

MistTrack 分析

我們使用鏈上追蹤工具 MistTrack 分析受害者提供的駭客地址 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac：駭客地址獲利超 100 萬美金，包括 USD0++、MORPHO 和 ETH；其中，駭客位址獲利超 100 萬美金，包括 USD0++、MORPHO 和 ETH；其中，U0

根據 MistTrack 顯示，黑客地址曾收到來自地址 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e 轉入地址，疑似的手續費提供 ETHe。該地址（0xb01c）的收入來源只有一個地址，卻轉出小額 ETH 到近 8,800 個地址，似乎是一個「專門提供手續費的平台」。

篩選該地址（0xb01c）轉出對像中被標記為惡意的地址，關聯到兩個釣魚地址，其中一個被標記為 Pink Drainer，擴展分析這兩個釣魚地址，資金基本轉移到 ChangNOeNO。

接著分析被盜資金的轉出情況，共有 296.45 ETH 轉移到新地址 0xdfe7c22a3826000dcdeb25500285000025000202600028500021250021002600020250002125000212500020002121250002125120002510

新地址（0xdfe7）的首筆交易時間為 2023 年 7 月，涉及多個鏈，目前餘額為 32.81 ETH。

新位址（0xdfe7）主要的 ETH 轉出路徑如下：

· 200.79 ETH -> 0x196. -> 0x41a2…9c0b

· 8.44 ETH -> 兌換為 15,720 USDT

· 14.39 ETH -> Gate.io

Bybit, Cryptomus.com, Swapspace, Gate.io, MEXC 關聯，且與被 MistTrack 標記為 Angel Drainer 和 Theft 的多個位址相關。除此之外，目前有 99.96 ETH 停留在地址 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01。

新位址（0xdfe7）的 USDT 交易痕跡也非常多，被轉出到 Binance, MEXC, FixedFloat 等平台。

總結

本次分享的釣魚途徑是駭客透過偽裝成正常 Zoom 會議鏈接，誘導用戶下載並執行惡意軟體。惡意軟體通常具備收集系統資訊、竊取瀏覽器資料和取得加密貨幣錢包資訊等多重危害功能，並將資料傳輸至駭客控制的伺服器。這類攻擊通常結合了社會工程攻擊和木馬攻擊技術，使用者稍有不慎便會中招。慢霧安全團隊建議使用者在點擊會議連結前謹慎驗證，避免執行來源不明的軟體和指令，安裝防毒軟體並定期更新。更多的安全知識建議閱讀慢霧安全團隊出品的《區塊鏈黑暗森林自救手冊》：https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md。

原文連結

歡迎加入律動 BlockBeats 官方社群：

Telegram 訂閱群：https://t.me/theblockbeats

Telegram 交流群：https://t.me/BlockBeats_App

Twitter 官方帳號：https://twitter.com/BlockBeatsAsia