Das Blockchain-Sicherheitsunternehmen SlowMist hat vor einer ausgeklügelten Phishing-Betrugsmasche gewarnt, die gezielt Nutzer von Kryptowährungen ins Visier nimmt. Die Angreifer nutzen gefälschte Zoom-Meeting-Links, um Malware zu verbreiten, mit dem Ziel, sensible Informationen wie private Schlüssel und Wallet-Daten zu stehlen.
Der Betrug beginnt mit Phishing-Links, die Opfer auf eine Website leiten, die der offiziellen Zoom-Website täuschend ähnlich sieht. Die gefälschte Website mit der Domain „app[.]us4zoom[.]us“ imitiert die Zoom-Oberfläche, um das Vertrauen der Nutzer zu gewinnen. Die Nutzer werden aufgefordert, auf die Schaltfläche „Launch Meeting“ zu klicken, in dem Glauben, sie würden damit eine Zoom-Sitzung starten. In Wirklichkeit löst die Schaltfläche den Download einer schädlichen Datei mit dem Namen „ZoomApp_v.3.14.dmg“ aus.
Funktionsweise der Zoom-Malware
Nach dem Herunterladen dieser Datei wird ein Skript aktiviert, das den Benutzer auffordert, das Systempasswort einzugeben. Dieses Passwort gibt dem Skript die Berechtigung, eine versteckte ausführbare Datei namens „.ZoomApp“ auszuführen. Diese Datei wurde speziell entwickelt, um auf vertrauliche Systemdaten zuzugreifen, darunter Browser-Cookies, KeyChain-Informationen und Wallet-Daten.
Die Malware zielt speziell auf Nutzer von Kryptowährungen ab, indem sie private Schlüssel und andere sensible Wallet-Daten extrahiert. Während des Installationsprozesses führt das Skript „ZoomApp.file“ zusätzliche Aktionen aus. Dieses Skript fordert erneut das Systempasswort an, wodurch die Malware unbemerkt vollständigen Zugriff auf das Gerät erhält. Sobald die Daten gesammelt sind, wird ein Osascript ausgeführt, das die Informationen an die Server der Angreifer übermittelt.
Phishing-Aktivitäten und Täter
Untersuchungen von SlowMist zeigen, dass die Phishing-Website seit 27 Tagen aktiv ist. Die Analyse deutet darauf hin, dass russische Hacker hinter der Operation stecken. Diese Hacker nutzten die API von Telegram, um die Anzahl der Klicks auf den Download-Link zu verfolgen. Laut den Sicherheitsexperten begannen die Angriffe am 14. November und haben seitdem mehrere Opfer gefordert.
Illegale Gelder und Transaktionen
Mit dem On-Chain-Tracking-Tool MistTrack hat SlowMist die Bewegungen der gestohlenen Gelder analysiert. Eine bestimmte Adresse, 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac, wird verdächtigt, Kryptowährungen im Wert von mehr als 1 Million US-Dollar gestohlen zu haben. Dazu gehörten unter anderem USD0++, MORPHO und ETH.
Die Analyse ergab, dass die Angreifer USD0++ und MORPHO gegen 296 ETH tauschten. Eine weitere Wallet-Adresse, die mit dem Fall in Verbindung steht, ist 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e. Diese Adresse spielte eine Schlüsselrolle bei der Finanzierung von Transaktionsgebühren, indem kleine Mengen ETH an fast 8.800 andere Adressen überwiesen wurden. Dies deutet auf eine größere Operation hin, die darauf abzielt, illegale Aktivitäten zu erleichtern.
Nachdem die gestohlenen Gelder konsolidiert wurden, wurden sie über Börsen wie Binance, Gate.io, Bybit und MEXC gewaschen. Schließlich wurden die Kryptowährungen über Plattformen wie FixedFloat und Binance in Tether (USDT) und andere Tokens umgewandelt.
Warnung an Krypto-Nutzer und Zoom-Nutzer
SlowMist warnt Nutzer von Kryptowährungen vor der anhaltenden Bedrohung durch diesen Phishing-Betrug. Die Kriminellen sind weiterhin aktiv und nutzen fortschrittliche Techniken, um ihre gestohlenen Gewinne zu waschen und ihre Operationen zu verschleiern. Nutzer werden aufgerufen, besondere Vorsicht walten zu lassen, wenn sie unbekannte Links öffnen oder Dateien herunterladen. Leider sind viele Cyberkriminelle auf dem Kryptomarkt aktiv.
