假zoom鏈接如何成功盜取1M資金?

2024-12-25 16:12:36

早上起來就見幾個微信群在傳 @lsp 8940 遭遇假 zoom 鏈接被盜 1 M usd( https://x.com/lsp8940/status/1871350801270296709 ),這讓我想起 18 號我也遇到了類似的事,當時是一個老外私信我要合作,溝通了幾次時間,然後約到晚上 9 點 zoom 會議裏聊,到時間後老外給我發了一個會議室的鏈接,如下

https://app.us4zoom.us/j/8083344643?pwd= seyuvstpldar 6 ugeEtcGGury 936 qBCQr #success

(重要提示,這是個釣魚鏈接, 不要點擊!不要點擊!不要點擊!

當時我看到這個鏈接後有些奇怪,這個域名是 us4zoom ,看着有些不正規,但是我之前沒用過 zoom 也就不太確定,然後我就去 google 搜索和 perplexity 上查詢,發現官網是 zoom.us,和騙子給的域名對不上。

騙子給的鏈接會讓下載一個安裝包,下載完的文件有些小,和正常的安裝包大小相差太多,如下

當打开假 zoom 安裝包時就會發現一個明顯的問題,正常的軟件安裝是基本是讓你一路點“繼續”,然後安裝就結束了,比如真的 zoom 安裝包安裝時界面如圖

假 zoom 安裝包的安裝界面如下

這是什么鬼,為什么要讓我們把 Zoom.file 這個文件拖到終端裏執行,這明顯就有問題,我當時就用文本編輯器把 Zoom.file 打开,發現裏面是一個 bash 的腳本,但是內容我完全看不懂,看着像是被加密了。

不過也不怕,我當時就把整個內容扔給了 gpt,讓 gpt 幫我分析這個腳本

gpt 告訴我這段代碼被 base 64 編碼隱藏了,解碼後發現這個腳本的主要作用就是從安裝包中把木馬文件.ZoomApp 復制到/tmp 目錄中執行。這個木馬文件因為被隱藏了,默認情況下是看不到的。

對這個木馬文件的分析就超出了我的能力啦,gpt 也沒法給出實際的幫助,這部分的分析需要專業的安全人員接力。不過可以猜測這個木馬會掃描關鍵的文件進行上傳,比如瀏覽器中插件錢包的本地文件,記得 21 年是可以根據 metamask 的本地文件恢復出私鑰,前提是知道設置的密碼或者暴力破解。

通過這次事件我們可以得出幾個結論:

1、騙子是在廣泛撒網, @cutepanda web3 今天也發推說遇到同樣的騙局。

2、這是同一個騙子,通過 @lsp 8940 的復盤推文可以知道我倆收到的假 zoom 會議鏈接完全一樣。

https://x.com/lsp8940/status/1871426071499100630

3、推特上陌生人的私信要慎重,特別是這個陌生人沒有發過推文,你的共同好友沒有關注過他。

4、瀏覽器的插件錢包密碼盡量設置復雜些,這樣當瀏覽器的插件文件被泄露時也能增加被破解的難度。

安全無小事,希望大家都不要踩坑。

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

推薦文章

以太坊信仰者三理由看好 ETH 2025 年大爆發:漲幅料超過比特幣

年 初至今,以太坊的表現相較多數主流幣種遜色,僅上漲 52.8%,低於比特幣的 127.7%、SO...

DaFi Weaver
2 5小時前

Glassnode 研究:比特幣每輪週期回撤幅度正在減弱,或已進入牛市後期

比 特幣(BTC)在 17 日刷新 108,365 美元歷史高點後,隨後出現最高近 15% 的大型...

Natalia Wu
1 5小時前

幣安傳「正在大量屯Kaspa」準備上線現貨交易,消息有幾分可信度?

在 本輪牛市的市值前百大代幣中,PoW 代幣 Kaspa (KAS)幣價在熊市表示驚人,但近期表現...

Ting
1 5小時前

Aave 與 Lido 總 TVL 首突破 700 億美元,霸佔 DeFi 世界半邊天

根 據 DeFi 分析工具 TokenTerminal 的最新數據,去中心化金融(DeFi)市場中...

Arthur Wang
1 5小時前

BC.GAME宣布$BC空投活動,回饋忠實玩家,發放2億$BC代幣

活動時間: 2024 年 12 月 25 日至 2025 年 1 月 1 日 活動網址: http...

星球日報
1 5小時前

AI Agent都能指導賺錢了?盤點值得關注的投研分析型AI項目

加密資產在經歷了一陣“聖誕打折”後,目前有所回暖。 其中,AI Agent 相關項目仍舊是反彈最猛...

星球日報
1 5小時前