Waarschuwing: nieuwe phishing fraude, vermomd als vergaderlink Zoom

Het blockchain beveiligingsbedrijf SlowMist heeft gewaarschuwd voor een geavanceerde phishing scam die gebruikers van cryptovaluta in het vizier heeft. De aanvallers gebruiken valse Zoom vergaderlinks als dekmantel om malware te verspreiden, met als doel gevoelige informatie zoals privésleutels en wallet gegevens te stelen.

De fraude begint met phishinglinks die slachtoffers naar een website leiden die sterk lijkt op de officiële Zoom website. De nepwebsite, met het domein ‘app[.]us4zoom[.]us,’ bootst de interface van Zoom na om vertrouwen te wekken. Gebruikers worden gevraagd op een knop ‘Launch Meeting’ te klikken, in de veronderstelling dat zij hiermee een Zoom-sessie starten. In werkelijkheid triggert de knop de download van een schadelijk bestand genaamd ‘ZoomApp_v.3.14.dmg.’

⚠️Beware of phishing attacks disguised as Zoom meeting links!🎣 Hackers collect user data and decrypt it to steal sensitive info like mnemonic phrases and private keys. These attacks often combine social engineering and trojan techniques. Read our full analysis⬇️…

— SlowMist (@SlowMist_Team) · December 27, 2024

Werking van de Zoom malware

Na het downloaden van dit bestand wordt een script geactiveerd dat de gebruiker vraagt om het systeemwachtwoord in te voeren. Dit wachtwoord geeft het script toestemming om een verborgen uitvoerbaar bestand, ‘.ZoomApp,’ uit te voeren. Dit bestand is speciaal ontworpen om toegang te krijgen tot vertrouwelijke systeemgegevens, waaronder browsercookies, KeyChain informatie en gegevens van cryptowallets.

De malware richt zich specifiek op gebruikers van cryptovaluta door privésleutels en andere gevoelige walletgegevens te extraheren. Tijdens de installatie voert het script ‘ZoomApp.file’ aanvullende acties uit. Dit script vraagt opnieuw om het systeemwachtwoord, waardoor de malware ongemerkt volledige toegang krijgt tot het apparaat. Zodra de gegevens zijn verzameld, wordt een osascript uitgevoerd dat de informatie naar servers van de aanvallers verstuurt.

Crypto Users Beware! Blockchain security firm SlowMist warns of a new Zoom scam targeting crypto holders. Scammers use fake meetings to steal sensitive info & access funds. Stay alert: ✅ Verify meeting hosts ✅ Never share private keys ✅ Use 2FA #CryptoScam #SlowMist

— NEXUSNFT (@NFTNEXUSSS) · December 27, 2024

Phishingactiviteiten en daders

Uit onderzoek van SlowMist blijkt dat de phishingwebsite al 27 dagen actief is. De analyse suggereert dat Russische hackers achter de operatie zitten. Deze hackers gebruikten Telegram’s API om het aantal klikken op de downloadlink bij te houden. Volgens de beveiligingsexperts begonnen de aanvallen op 14 november en hebben ze sindsdien meerdere slachtoffers gemaakt.

Illegale fondsen en transacties

Met de on-chain tracking tool MistTrack heeft SlowMist de bewegingen van gestolen fondsen geanalyseerd. Een specifiek adres, 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac, wordt ervan verdacht meer dan $1 miljoen aan cryptovaluta te hebben gestolen. Dit omvatte onder andere USD0++, MORPHO en ETH.

Uit de analyse bleek dat de aanvallers USD0++ en MORPHO ruilden voor 296 ETH. Een ander adres van een wallet dat hieraan wordt gelinkt is 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e. Dit adres speelde een sleutelrol in het financieren van transactiekosten door kleine hoeveelheden ETH over te maken naar bijna 8.800 andere adressen. Dit duidt op een bredere operatie die gericht is op het faciliteren van illegale activiteiten.

🚨Cryptocurrency users beware!🔒 Scammers using fake Zoom links for phishing attacks to steal private keys and crypto assets. SlowMist exposes the fraud, tracing millions in Ethereum theft. Stay vigilant! #CryptocurrencySecurity #ZoomScam #SlowMist 🔐💰

— Ultra | MSU🍄 Player | Crypto Updater (@pure_ai_chain_) · December 27, 2024

Nadat de gestolen fondsen waren geconsolideerd, werden ze via exchanges zoals Binance, Gate.io, Bybit en MEXC witgewassen. Uiteindelijk werden de cryptovaluta omgezet naar Tether (USDT) en andere tokens via platforms zoals FixedFloat en Binance.

Waarschuwing voor cryptogebruikers en gebruikers van Zoom

SlowMist waarschuwt gebruikers van cryptovaluta voor de aanhoudende dreiging van deze phishing oplichting. De criminelen blijven actief en gebruiken geavanceerde technieken om hun gestolen winsten wit te wassen en hun operaties te verbergen. Gebruikers worden opgeroepen extra waakzaam te zijn bij het openen van onbekende links en het downloaden van bestanden. Er zijn helaas veel cybercriminelen actief op de cryptomarkt.