假zoom鏈接如何成功盜取1M資金?
早上起來就見幾個微信群在傳 @lsp 8940 遭遇假 zoom 鏈接被盜 1 M usd( https://x.com/lsp8940/status/1871350801270296709 ),這讓我想起 18 號我也遇到了類似的事,當時是一個老外私信我要合作,溝通了幾次時間,然後約到晚上 9 點 zoom 會議裏聊,到時間後老外給我發了一個會議室的鏈接,如下
https://app.us4zoom.us/j/8083344643?pwd= seyuvstpldar 6 ugeEtcGGury 936 qBCQr #success
(重要提示,這是個釣魚鏈接, 不要點擊!不要點擊!不要點擊! )
當時我看到這個鏈接後有些奇怪,這個域名是 us4zoom ,看着有些不正規,但是我之前沒用過 zoom 也就不太確定,然後我就去 google 搜索和 perplexity 上查詢,發現官網是 zoom.us,和騙子給的域名對不上。
騙子給的鏈接會讓下載一個安裝包,下載完的文件有些小,和正常的安裝包大小相差太多,如下
當打开假 zoom 安裝包時就會發現一個明顯的問題,正常的軟件安裝是基本是讓你一路點“繼續”,然後安裝就結束了,比如真的 zoom 安裝包安裝時界面如圖
假 zoom 安裝包的安裝界面如下
這是什么鬼,為什么要讓我們把 Zoom.file 這個文件拖到終端裏執行,這明顯就有問題,我當時就用文本編輯器把 Zoom.file 打开,發現裏面是一個 bash 的腳本,但是內容我完全看不懂,看着像是被加密了。
不過也不怕,我當時就把整個內容扔給了 gpt,讓 gpt 幫我分析這個腳本
gpt 告訴我這段代碼被 base 64 編碼隱藏了,解碼後發現這個腳本的主要作用就是從安裝包中把木馬文件.ZoomApp 復制到/tmp 目錄中執行。這個木馬文件因為被隱藏了,默認情況下是看不到的。
對這個木馬文件的分析就超出了我的能力啦,gpt 也沒法給出實際的幫助,這部分的分析需要專業的安全人員接力。不過可以猜測這個木馬會掃描關鍵的文件進行上傳,比如瀏覽器中插件錢包的本地文件,記得 21 年是可以根據 metamask 的本地文件恢復出私鑰,前提是知道設置的密碼或者暴力破解。
通過這次事件我們可以得出幾個結論:
1、騙子是在廣泛撒網, @cutepanda web3 今天也發推說遇到同樣的騙局。
2、這是同一個騙子,通過 @lsp 8940 的復盤推文可以知道我倆收到的假 zoom 會議鏈接完全一樣。
https://x.com/lsp8940/status/1871426071499100630
3、推特上陌生人的私信要慎重,特別是這個陌生人沒有發過推文,你的共同好友沒有關注過他。
4、瀏覽器的插件錢包密碼盡量設置復雜些,這樣當瀏覽器的插件文件被泄露時也能增加被破解的難度。
安全無小事,希望大家都不要踩坑。
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。
以太坊信仰者三理由看好 ETH 2025 年大爆發:漲幅料超過比特幣
年 初至今,以太坊的表現相較多數主流幣種遜色,僅上漲 52.8%,低於比特幣的 127.7%、SO...
Glassnode 研究:比特幣每輪週期回撤幅度正在減弱,或已進入牛市後期
比 特幣(BTC)在 17 日刷新 108,365 美元歷史高點後,隨後出現最高近 15% 的大型...
Aave 與 Lido 總 TVL 首突破 700 億美元,霸佔 DeFi 世界半邊天
根 據 DeFi 分析工具 TokenTerminal 的最新數據,去中心化金融(DeFi)市場中...
星球日報
文章數量
7726粉絲數
0