区块链安全公司SlowMist发布的详细报告显示，一种伪装成假Zoom会议链接的高级网络钓鱼攻击已窃取价值数百万的加密资产。

该诈骗于2024年11月14日首次被发现，针对用户通过链接传播恶意软件，这些链接模仿了合法的Zoom界面。

经过深度调查，这一网络钓鱼活动与讲俄语的黑客有关。被盗的资金被追踪到多个加密平台，包括Binance、Gate.io和Bybit。

SlowMist的调查揭示，攻击者利用域名“app[.]us4zoom[.]us”伪装成Zoom的官方网页地址。

钓鱼网站紧密仿效合法的Zoom会议界面，诱使用户点击“启动会议”按钮。

但是，网站并没有启动会议，而是下载了一个名为“ZoomApp_v.3.14.dmg”的恶意包。

一旦执行，此包会提示用户输入系统密码，从而授予恶意软件更高的权限。

在进一步分析中，SlowMist发现了一个名为“.ZoomApp”的隐藏可执行文件，该文件嵌入在安装包中。

该文件充当特洛伊木马，收集敏感用户数据，包括系统信息、浏览器 Cookies、加密货币钱包数据和KeyChain密码。

收集到的信息随后被传输到由黑客控制的服务器，其IP地址141.98.9.20被追踪到荷兰。

威胁情报服务将此IP标记为恶意。

该恶意软件利用osascript脚本绕过macOS安全措施，使攻击者能够窃取钱包助记词和私钥。

这使得未经授权访问受害者的加密资产成为可能。

此外，攻击者通过使用社交工程战术和利用可信软件绕过传统的安全防御。

追踪被盗资金：黑客的踪迹被发现

SlowMist使用其链上追踪工具MistTrack追踪被盗资产的流动。

调查识别出一个黑客地址0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac，其获利超过100万美元。

被盗资产包括USD0++和MORPHO代币，随后被交换为296 ETH。

黑客的地址接收了来自0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e的小额以太坊转账，该地址被怀疑为网络钓鱼操作提供交易费用。

该地址向大约8800个其他地址分发了小额ETH，暗示它可能是一个交易费平台。

进一步分析显示，部分被盗资金流入集中交易所，包括ChangeNOW和MEXC，同时296.45 ETH被转移到一个新地址0xdfe7c22a382600dcffdde2c51aaa73d788ebae95。

该地址在不同区块链上进行了多笔交易，目前余额为32.81 ETH。

剩余资金分散在Bybit、Cryptomus.com和Swapspace等平台。

值得注意的是，这些转账中有一些地址被MistTrack标记为与已知钓鱼实体“Angel Drainer”和“盗窃”相关。

因此，SlowMist建议用户在点击会议链接前务必谨慎验证。

主要建议包括：

• 避免从未经验证的来源下载软件。
• 定期更新杀毒软件和反恶意软件。
• 避免为不明应用输入系统密码。
• 监控钱包活动，并尽可能启用双因素身份验证（2FA）。

值得注意的是，本月早些时候报告了类似的协调攻击。报告指出，Web3工作人员是针对复杂网络钓鱼活动的目标，这些活动使用假会议应用程序窃取敏感信息和加密资产。

攻击者利用AI创建逼真的网站、博客和虚假公司的社交媒体资料，如Meeten和Meetio，以显得可信。

受害者被诱骗下载伪装成专业工具或商业机会的恶意软件应用。

这种恶意软件称为Realst信息窃取程序，影响macOS和Windows设备，提取凭据、财务数据和加密钱包信息。