Фальшивые Zoom-ссылки стали новой угрозой для владельцев криптовалют

Хакеры начали использовать фишинговые ссылки на Zoom-встречи, чтобы похищать данные пользователей и их криптоактивы. По словам экспертов из SlowMist, одна из таких атак привела к утрате цифровых валют на сумму в миллионы долларов. Эксперты изучили механизм этой фишинговой атаки и отследили перемещение украденных средств.

Мошенники создавали ссылки на сайты, похожие на официальный Zoom, с доменом app[.]us4zoom[.]us. Пользователи, переходя по ссылке, видели поддельный интерфейс Zoom. Вместо запуска встречи сайт предлагал скачать установочный файл, который содержал вредоносное ПО.

После установки программа обманывала пользователей, заставляя их ввести системный пароль. Вредоносный код собирал данные о системе, браузере, кошельках криптовалют, заметках, cookies и даже о содержимом KeyChain. Вся информация передавалась на серверы хакеров, расположенные в Нидерландах. Далее похитить цифровые активы становилось делом техники.

Анализ показал, что хакерский сервер уже помечен как вредоносный. Средства, похищенные с криптокошельков, переводились на адреса, которые затем использовались для обмена активов через такие платформы, как ChangeNOW, MEXC, Binance и другие.

Одним из ключевых адресов, связанных с этой атакой, стал кошелек, в который поступило более 296 ETH. Часть средств была переведена в другие хранилища или конвертирована в USDT. Сотрудники SlowMist также обнаружили связь похищенных активов с другими мошенническими схемами, включая проекты Angel Drainer и Pink Drainer.

Эксперты подчеркивают, что такие атаки сочетают в себе элементы социальной инженерии и использования троянов. Пользователи должны быть максимально осторожны. Исследователи по безопасности посоветовали всегда проверять подлинность ссылок, избегать установки неизвестных программ и своевременно обновлять антивирусное ПО.

Автор

Петр Иванов