攻擊者利用假冒的 Zoom 域名來散佈惡意軟體
惡意軟體竊取加密貨幣錢包憑證
鏈上分析追蹤被盜資金通過多個交易所
一個針對加密貨幣持有者的精密釣魚操作已經出現,利用巧妙製作的 Zoom 會議邀請作為攻擊載體。這個由 SlowMist 安全團隊揭露的活動,展示了黑客如何利用視頻會議平台的廣泛使用來散佈能夠竊取大量加密資產的惡意軟體。
與 Zoom 會議詐騙的俄羅斯連結
對攻擊基礎設施的分析顯示出規劃和執行上的令人擔憂的精密性。根據監控日誌中發現的語言模式,這些黑客被認為起源於俄羅斯,自 11 月 14 日以來一直在積極鎖定受害者。他們精心構建的域名 “app[.]us4zoom[.]us” 成為了散佈偽裝成 Zoom 客戶端安裝程式的惡意軟體的可信面具。
這款惡意軟體的功能廣泛且系統化。執行後,它收集各種敏感數據,包括系統信息、瀏覽器數據、加密貨幣錢包憑證和 Telegram 通訊。這些信息隨後被傳送到位於荷蘭的指揮與控制伺服器。攻擊者的精密性進一步體現在他們使用加密腳本和複雜的數據外洩方法上。
財務影響相當重大,鏈上分析顯示被盜資產超過 100 萬美元。使用 MistTrack,調查人員追蹤資金流向,包括轉換為 ETH 及隨後通過 ChangeNOW、MEXC 和 Gate.io 等平台的轉移。
這一事件清楚地提醒我們加密針對性惡意軟體日益精密化的重要性,以及即使在看似來自可信平台的情況下,仍需核實軟體來源的必要性。攻擊者利用像 Zoom 這樣熟悉的商業工具的能力,突顯了在加密貨幣領域中持續保持警惕的必要性。
