Недавняя волна фишинговых атак, замаскированных под ссылки для подключения к Zoom-встречам, привела к крупным потерям криптовалютных активов, оцениваемым в миллионы долларов. Злоумышленники создали фальшивый домен, внешне схожий с официальными ссылками Zoom, чтобы обманом заставить пользователей скачать вредоносное программное обеспечение, выдаваемое за установочный файл.
Анализ, проведенный экспертами по безопасности из SlowMist, показал, что фишинговая ссылка перенаправляла жертв на сайт, копирующий интерфейс Zoom. При попытке начать видеоконференцию вместо клиента Zoom загружался файл, содержащий троян. Этот вредоносный скрипт похищал конфиденциальные данные, включая системную информацию, пароли и ключи криптокошельков, передавая их на сервер хакеров, расположенный в Нидерландах.
Согласно данным MistTrack, хакеры получили более $1 млн на одном из своих криптоадресов. Эти средства, представленные в токенах USDT и MORPHO, впоследствии были конвертированы в 296 ETH. Для отмывания активов преступники использовали биржи, такие как ChangeNOW и Gate.io, что усложняет их отслеживание. Также установлено, что они применяли Telegram для координации своих действий и отслеживания активности жертв, что свидетельствует о высоком уровне организации атаки.
Отчет SlowMist также отмечает, что вредоносное ПО крало не только данные криптовалютных кошельков, но и системные пароли, позволяя хакерам получить доступ к дополнительным ресурсам. Атака была направлена, в частности, на русскоязычную аудиторию.
Эксперты настоятельно рекомендуют быть особенно внимательными при переходе по ссылкам на Zoom-встречи. Для защиты от подобных угроз рекомендуется использовать антивирусное ПО, регулярно обновлять операционные системы и приложения, а также тщательно проверять подлинность URL-адресов перед скачиванием каких-либо файлов.
