저자|Reborn, 리사
편집자|리즈
배경
최근에 많은 사용자들이 이러한 맥락에서 SlowMist 보안팀은 이러한 피싱 사건과 공격 방법을 분석하고 해커의 자금 흐름을 추적합니다.
(https://x.com/lsp8940/status/1871350801270296709)
피싱 링크 분석
해커는 "app[.]us4zoom[.]us" 형식의 도메인 이름을 사용하여 일반 Zoom 회의 링크로 위장합니다. 사용자가 "회의 시작" 버튼을 클릭하면 페이지가 실제 Zoom 회의와 매우 유사합니다. 이는 악성 설치 패키지의 다운로드를 트리거합니다. 로컬 Zoom 클라이언트가 시작되지 않습니다.
위 도메인명을 탐지하여 해커의 모니터링 로그 주소(https[:]//app[.]us4zoom[.]us/error_log)를 발견했습니다.
복호화 결과 이는 스크립트가 텔레그램 API를 통해 메시지를 보내려고 할 때 발생하는 로그 항목이며 사용된 언어는 러시아어인 것으로 나타났습니다.
이 사이트는 27일 전에 배포 및 출시되었으며 해커는 러시아인일 수 있으며 11월 14일부터 피싱 사기를 저지를 대상을 찾고 있으며 대상이 피싱 페이지의 다운로드 버튼을 클릭하는지 텔레그램 API를 통해 모니터링하고 있습니다.
악성 코드 분석
악성 설치 패키지의 파일명은 "ZoomApp_v.3.14.dmg"이다. 다음은 Zoom 피싱 소프트웨어가 여는 인터페이스로, 사용자가 터미널에서 ZoomApp.file 악성 스크립트를 실행하도록 유도하고, 사용자가 자신의 비밀번호를 입력하도록 유도한다. 실행 프로세스 중 로컬 비밀번호.
악성파일의 실행 내용은 다음과 같다.
위 내용을 디코딩한 결과 악성 오사스크립트 스크립트인 것으로 밝혀졌습니다.
지속적인 분석을 통해 스크립트가 ".ZoomApp"이라는 숨겨진 실행 파일을 찾아 로컬에서 실행한 것으로 나타났습니다. 원래 설치 패키지 "ZoomApp_v.3.14.dmg"에 대해 디스크 분석을 수행한 결과 설치 패키지가 ".ZoomApp"이라는 실행 파일을 숨긴 것으로 나타났습니다.
악성 행위 분석
정적 분석
분석을 위해 바이너리 파일을 위협 인텔리전스 플랫폼에 업로드한 결과 해당 파일이 악성으로 표시된 것을 발견했습니다.
(https://www.virustotal.com/gui/file/e4b6285e183dd5e1c4e9eaf30cec886fd15293205e706855a48b30c890cbf5f2)
다음 그림은 정적 디스어셈블리 분석을 통해 데이터 복호화 및 스크립트 실행에 사용되는 바이너리 파일의 항목 코드를 보여줍니다.
아래 사진은 데이터 부분인데 대부분의 정보가 암호화되어 있는 것을 볼 수 있습니다.
데이터를 해독한 후 바이너리 파일은 결국 악성 osascript 스크립트를 실행한 것으로 나타났습니다(전체 해독 코드는 https://pastebin.com/qRYQ44xa에서 공유됨). 이 스크립트는 사용자 장치에 대한 정보를 수집하고 배경으로 보내세요.
아래 그림은 다양한 플러그인 ID의 경로 정보를 나열하는 코드의 일부입니다.
아래 그림은 컴퓨터 키체인 정보를 읽어오는 코드의 일부입니다.
악성코드는 시스템 정보, 브라우저 데이터, 암호화된 지갑 데이터, 텔레그램 데이터, 노트노트 데이터, 쿠키 데이터 등을 수집한 뒤 이를 압축해 해커가 통제하는 서버(141.98.9.20)로 전송한다.
악성 프로그램은 실행 시 사용자에게 비밀번호를 입력하도록 유도하고, 후속 악성 스크립트도 컴퓨터의 키체인 데이터(사용자가 컴퓨터에 저장한 다양한 비밀번호를 포함할 수 있음)를 수집하므로 해커는 다음과 같은 시도를 하게 됩니다. 데이터를 수집한 후 암호를 해독하고 사용자의 비밀번호를 획득하여 월렛 니모닉 단어, 개인 키 및 기타 민감한 정보를 획득하여 사용자의 자산을 훔칩니다.
분석에 따르면 해커 서버의 IP 주소는 네덜란드에 위치하고 있으며 위협 인텔리전스 플랫폼에 의해 악성으로 표시되었습니다.
(https://www.virustotal.com/gui/ip-address/141.98.9.20)
동적 분석
악성 프로그램은 가상 환경에서 동적으로 실행되며 그 과정을 분석한다. 아래 그림은 로컬 데이터를 수집하고 백그라운드로 전송하는 악성 프로그램의 프로세스 모니터링 정보를 보여준다.
미스트트랙 분석
우리는 온체인 추적 도구인 MistTrack을 사용하여 피해자가 제공한 해커 주소 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac를 분석했습니다. 해커 주소는 USD0++, MORPHO 및 ETH를 포함하여 100만 달러 이상의 수익을 올렸으며 그중 USD0++ 및 MORPHO는 296으로 교환되었습니다. ETH.
MistTrack에 따르면 해당 해커 주소는 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e 주소에서 소량의 ETH를 전송받았으며, 이는 해커 주소에 대한 처리 수수료를 제공한 것으로 의심됩니다. 이 주소(0xb01c)의 수입원은 단 하나의 주소이지만, 8,800개에 가까운 주소에 소량의 ETH를 전송하는 '수수료 제공 전문 플랫폼'인 것으로 보인다.
해당 주소(0xb01c)는 이체 대상에서 악성으로 표시된 주소를 선별한 결과, 피싱 주소 2개와 연관되어 있었는데, 그 중 하나는 Pink Drainer로 표시된 주소였습니다. 이 두 피싱 주소를 심층적으로 분석한 결과 기본적으로 ChangeNOW로 자금이 이체되었습니다. 그리고 MEXC.
그런 다음 도난당한 자금 이체를 분석한 결과 총 296.45 ETH가 새 주소 0xdfe7c22a382600dcffdde2c51aaa73d788ebae95로 이체되었습니다.
새 주소(0xdfe7)의 첫 번째 거래는 2023년 7월에 이루어졌으며 여러 체인이 포함되었으며 현재 잔액은 32.81 ETH입니다.
새 주소(0xdfe7)의 주요 ETH 전송 경로는 다음과 같습니다.
- 200.79 ETH -> 0x19e0…5c98f
- 63.03 ETH -> 0x41a2…9c0b
- 8.44 ETH -> 15,720 USDT로 변환
- 14.39 ETH -> Gate.io
위 확장 주소의 후속 전송은 Bybit, Cryptomus.com, Swapspace, Gate.io, MEXC와 같은 여러 플랫폼과 연결되었으며 MistTrack의 Angel Drainer 및 Theft로 표시된 여러 주소와 연결되었습니다. 그 외에도 현재 주소 0x3624169dfeeead9f3234c0ccd38c3b97cecafd01에 99.96 ETH가 고정되어 있습니다.
또한 새 주소(0xdfe7)에는 Binance, MEXC, FixFloat 및 기타 플랫폼으로 전송된 USDT 거래의 흔적이 많이 있습니다.
요약
이번에 공유된 피싱 수법은 해커들이 자신을 일반 줌 회의 링크로 위장해 사용자에게 악성코드를 다운로드 및 실행하도록 유도하는 것이다. 악성코드는 일반적으로 시스템 정보 수집, 브라우저 데이터 탈취, 암호화폐 지갑 정보 획득 등 여러 가지 유해한 기능을 가지고 있으며, 해당 데이터를 해커가 통제하는 서버로 전송합니다. 이러한 유형의 공격은 일반적으로 사회 공학 공격과 트로이 목마 공격 기술을 결합하며 사용자가 조심하지 않으면 피해자가 됩니다. SlowMist 보안팀은 사용자가 회의 링크를 클릭하기 전에 주의 깊게 확인하고, 알 수 없는 소스의 소프트웨어 및 명령 실행을 피하고, 바이러스 백신 소프트웨어를 설치하고 정기적으로 업데이트할 것을 권장합니다. 더 많은 보안 지식을 원하시면 SlowMist 보안팀에서 제작한 "블록체인 어둠의 숲 자가구조 핸드북"(https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main)을 읽어보시길 권장합니다. /README_CN.md .
