Het blockchain beveiligingsbedrijf SlowMist heeft gewaarschuwd voor een geavanceerde phishing scam die gebruikers van cryptovaluta in het vizier heeft. De aanvallers gebruiken valse Zoom vergaderlinks als dekmantel om malware te verspreiden, met als doel gevoelige informatie zoals privésleutels en wallet gegevens te stelen.
De fraude begint met phishinglinks die slachtoffers naar een website leiden die sterk lijkt op de officiële Zoom website. De nepwebsite, met het domein ‘app[.]us4zoom[.]us,’ bootst de interface van Zoom na om vertrouwen te wekken. Gebruikers worden gevraagd op een knop ‘Launch Meeting’ te klikken, in de veronderstelling dat zij hiermee een Zoom-sessie starten. In werkelijkheid triggert de knop de download van een schadelijk bestand genaamd ‘ZoomApp_v.3.14.dmg.’
Werking van de Zoom malware
Na het downloaden van dit bestand wordt een script geactiveerd dat de gebruiker vraagt om het systeemwachtwoord in te voeren. Dit wachtwoord geeft het script toestemming om een verborgen uitvoerbaar bestand, ‘.ZoomApp,’ uit te voeren. Dit bestand is speciaal ontworpen om toegang te krijgen tot vertrouwelijke systeemgegevens, waaronder browsercookies, KeyChain informatie en gegevens van cryptowallets.
De malware richt zich specifiek op gebruikers van cryptovaluta door privésleutels en andere gevoelige walletgegevens te extraheren. Tijdens de installatie voert het script ‘ZoomApp.file’ aanvullende acties uit. Dit script vraagt opnieuw om het systeemwachtwoord, waardoor de malware ongemerkt volledige toegang krijgt tot het apparaat. Zodra de gegevens zijn verzameld, wordt een osascript uitgevoerd dat de informatie naar servers van de aanvallers verstuurt.
Phishingactiviteiten en daders
Uit onderzoek van SlowMist blijkt dat de phishingwebsite al 27 dagen actief is. De analyse suggereert dat Russische hackers achter de operatie zitten. Deze hackers gebruikten Telegram’s API om het aantal klikken op de downloadlink bij te houden. Volgens de beveiligingsexperts begonnen de aanvallen op 14 november en hebben ze sindsdien meerdere slachtoffers gemaakt.
Illegale fondsen en transacties
Met de on-chain tracking tool MistTrack heeft SlowMist de bewegingen van gestolen fondsen geanalyseerd. Een specifiek adres, 0x9fd15727f43ebffd0af6fecf6e01a810348ee6ac, wordt ervan verdacht meer dan $1 miljoen aan cryptovaluta te hebben gestolen. Dit omvatte onder andere USD0++, MORPHO en ETH.
Uit de analyse bleek dat de aanvallers USD0++ en MORPHO ruilden voor 296 ETH. Een ander adres van een wallet dat hieraan wordt gelinkt is 0xb01caea8c6c47bbf4f4b4c5080ca642043359c2e. Dit adres speelde een sleutelrol in het financieren van transactiekosten door kleine hoeveelheden ETH over te maken naar bijna 8.800 andere adressen. Dit duidt op een bredere operatie die gericht is op het faciliteren van illegale activiteiten.
Nadat de gestolen fondsen waren geconsolideerd, werden ze via exchanges zoals Binance, Gate.io, Bybit en MEXC witgewassen. Uiteindelijk werden de cryptovaluta omgezet naar Tether (USDT) en andere tokens via platforms zoals FixedFloat en Binance.
Waarschuwing voor cryptogebruikers en gebruikers van Zoom
SlowMist waarschuwt gebruikers van cryptovaluta voor de aanhoudende dreiging van deze phishing oplichting. De criminelen blijven actief en gebruiken geavanceerde technieken om hun gestolen winsten wit te wassen en hun operaties te verbergen. Gebruikers worden opgeroepen extra waakzaam te zijn bij het openen van onbekende links en het downloaden van bestanden. Er zijn helaas veel cybercriminelen actief op de cryptomarkt.
Wil je altijd op de hoogte blijven? Volg ons dan op Google Nieuws.
Ontvang 10 euro gratis crypto bij Bitvavo
In samenwerking met Bitvavo mogen wij 10 euro gratis cryptocurrency weggeven aan onze lezers. Dit is een exclusieve samenwerking met de grootste exchange van Nederland. Daarnaast mag je ook de eerste 7 dagen €10.000 volledig gratis handelen op het platform, dit heeft ook een waarde van 25 euro.
Start jouw cryptoavontuur met een welkomstcadeau van 10 euro (storting van €10 vereist) en maak jouw account aan via onderstaande knop. Je vindt alle voorwaarden van deze deal op de actiepagina.
