假zoom链接如何成功盗取1M资金?

币安下载

Binance币安交易所

全球最大加密货币交易所,注册100%可领取100USDT奖励!通过本站注册不仅可以享受手续费折扣同时有机会获得币安周边

点击注册 更多线路

更多交易所入口

一站式注册各大交易所、点击进入加密世界、永不失联,币安Binance/欧易OKX/GATE.IO芝麻开门/Bitget/抹茶MEXC/火币Huobi

点击进入 永不失联

早上起来就见几个微信群在传 @lsp 8940  遭遇假 zoom 链接被盗 1 M usd(https://x.com/lsp8940/status/1871350801270296709),这让我想起 18 号我也遇到了类似的事,当时是一个老外私信我要合作,沟通了几次时间,然后约到晚上 9 点 zoom 会议里聊,到时间后老外给我发了一个会议室的链接,如下

https://app.us4zoom.us/j/8083344643?pwd= seyuvstpldar 6 ugeEtcGGury 936 qBCQr #success

(重要提示,这是个钓鱼链接,不要点击!不要点击!不要点击!)

当时我看到这个链接后有些奇怪,这个域名是 us4zoom,看着有些不正规,但是我之前没用过 zoom 也就不太确定,然后我就去 google 搜索和 perplexity 上查询,发现官网是 zoom.us,和骗子给的域名对不上。

骗子给的链接会让下载一个安装包,下载完的文件有些小,和正常的安装包大小相差太多,如下

当打开假 zoom 安装包时就会发现一个明显的问题,正常的软件安装是基本是让你一路点“继续”,然后安装就结束了,比如真的 zoom 安装包安装时界面如图

假 zoom 安装包的安装界面如下

这是什么鬼,为什么要让我们把 Zoom.file 这个文件拖到终端里执行,这明显就有问题,我当时就用文本编辑器把 Zoom.file 打开,发现里面是一个 bash 的脚本,但是内容我完全看不懂,看着像是被加密了。

不过也不怕,我当时就把整个内容扔给了 gpt,让 gpt 帮我分析这个脚本

gpt 告诉我这段代码被 base 64 编码隐藏了,解码后发现这个脚本的主要作用就是从安装包中把木马文件.ZoomApp 复制到/tmp 目录中执行。这个木马文件因为被隐藏了,默认情况下是看不到的。

对这个木马文件的分析就超出了我的能力啦,gpt 也没法给出实际的帮助,这部分的分析需要专业的安全人员接力。不过可以猜测这个木马会扫描关键的文件进行上传,比如浏览器中插件钱包的本地文件,记得 21 年是可以根据 metamask 的本地文件恢复出私钥,前提是知道设置的密码或者暴力破解。

通过这次事件我们可以得出几个结论:

1、骗子是在广泛撒网, @cutepanda web3 今天也发推说遇到同样的骗局。

2、这是同一个骗子,通过 @lsp 8940  的复盘推文可以知道我俩收到的假 zoom 会议链接完全一样。

https://x.com/lsp8940/status/1871426071499100630

3、推特上陌生人的私信要慎重,特别是这个陌生人没有发过推文,你的共同好友没有关注过他。

4、浏览器的插件钱包密码尽量设置复杂些,这样当浏览器的插件文件被泄露时也能增加被破解的难度。

安全无小事,希望大家都不要踩坑。