一场冒充 Zoom 会议邀请的高级网络钓鱼活动最终导致数百万加密货币被盗,凸显出针对统一通信平台的网络攻击风险日益增长。
正如区块链安全公司 SlowMist 首次强调的那样,该网络钓鱼活动模仿合法的 Zoom 会议邀请链接,将用户重定向到一个仿冒域名 “app[.]us4zoom[.]us”,该域名与 Zoom 的官方界面非常相似。
与启动 Zoom 客户端的真正邀请链接不同,这个欺诈网站会提示用户下载一个伪装成 “ZoomApp_v.3.14.dmg ”的恶意文件。这个假冒的安装包是攻击载体,网络犯罪分子可以借此渗透系统并窃取加密货币。
通过利用用户对广泛使用的通信平台的信任,攻击者已经成功部署了恶意软件,这些恶意软件可以渗透系统、破坏安全并窃取敏感数据,包括加密货币钱包。这种方法试图利用 Zoom 等主要平台的熟悉性和合法性,欺骗用户在不知情的情况下下载恶意软件。
关于此次黑客攻击的更多细节SlowMist 发现了俄语脚本通过 Telegram API 跟踪下载的证据,表明攻击者正在使用此渠道来监控和管理恶意软件的分发。该网站于 27 天前部署,表明黑客很可能是俄罗斯人。自 11 月 14 日起,他们就开始瞄准受害者,利用 Telegram API 监控是否有人点击了钓鱼页面上的下载按钮。
执行后,假冒的 Zoom 应用程序会诱骗用户输入系统密码,从而授予恶意软件对设备的高级访问权限。然后,该软件触发名为“ZoomApp.file”的脚本来运行其他隐藏代码,最终激活名为“.ZoomApp”的隐蔽可执行文件。
这种多层过程使攻击者能够悄悄地将自己嵌入到系统中,绕过传统的安全措施,并允许进一步的恶意行为,例如数据盗窃或安装持续威胁。
然后,该程序收集了敏感数据,包括浏览器信息、系统数据、cookie 和 KeyChain 密码、Telegram 和 Notes 数据以及加密货币钱包密钥。
被盗数据被发送到 IP 为 141.98.9.20 的黑客控制服务器,威胁平台将其标记为恶意服务器。SlowMist 使用 MistTrack 追踪到黑客的地址 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac,其中累计被盗资金超过 100 万美元,包括 ETH、USD0++ 和 MORPHO。这些资金被兑换成 296 ETH,其中一些通过币安、Gate.io 和 Swapspace 洗白。
SlowMist 还发现了一个支持地址 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e,该地址涉嫌协助向近 8,800 个地址转移费用,将网络钓鱼操作与“Pink Drainer”和“Angel Drainer”等更广泛的恶意网络联系起来。
Zoom 如何结束 2024 年?上个月,该公司宣布推出Zoom Workplace for Education,这是一款新的 UCaaS 解决方案,旨在加强学校和大学的协作。
Zoom Workplace for Education 是一款专为教育机构设计的安全一体化平台。它集成了语音、视频、聊天、电话、现场会议、网络研讨会、录音、转录、翻译服务和视听室集成等功能。
Zoom 强调,这一综合解决方案旨在简化协作并增强学习体验,为教育工作者和学生提供无缝沟通和有意义的参与的统一工具包。
此外,12 月, Zoom 推出了新的视频 SDK 转售服务。
Zoom 视频 SDK 是一个完全可编程的工具包,可让客户将 Zoom 的核心功能(视频、音频、屏幕共享和聊天)直接集成到自己的应用程序中。该 SDK 专为灵活性而设计,可为医疗保健、教育等行业提供高质量的实时通信功能。
Zoom 强调通过将可靠的通信工具嵌入到定制的工作流程和定制产品中来增强用户体验的潜力。
信息来源:https://www.uctoday.com/collaboration/zoom-meeting-links-are-being-impersonated-for-phishing-attacks/
