Злоумышленники создали домен, app[.]us4zoom[.]us, внешний вид которого напоминает интерфейс официального веб-сайта Zoom. Потенциальных жертв обманом убеждали нажать кнопку «Запустить конференцию» (Launch Meeting), после чего на устройство загружался вредоносный файл ZoomApp_v.3.14.dmg. После установки файл запускал скрипт под названием ZoomApp.file, затем от пользователей требовалось ввести пароль.
Cкрипт устанавливал скрытый файл .ZoomApp, извлекающий конфиденциальные данные, в том числе файлы cookie, учетные данные криптовалютных кошельков и данные для входа в мессенджер Telegram.
Аналитики SlowMist объяснили, что вредоносное ПО может расшифровывать данные, вычислять пути плагинов и красть учетные записи с устройства жертвы. Затем украденная информация сжимается и отправляется на сервер хакеров, который те используют для получения полного доступа к криптокошелькам жертв. Схема действует с ноября 2024 года и уже привела к многомиллионным потерям.
Исследователи обнаружили один из адресов, связанных с хакерами, где находились украденные криптоактивы на сумму более $1 млн. Активы были конвертированы в 296 ETH и переведены на криптобиржи Binance и Bybit. Был найден еще один адрес, с которого оказалось отправлено небольшое количество эфиров почти на 8800 адресов. В ноябре от похожей мошеннической схемы пострадал пользователь, который, перейдя по фишинговой ссылке на Zoom, потерял токены Gigachad (GIGA) на сумму более $6 млн.
Эксперты по безопасности из SlowMist призвали пользователей внимательно проверять ссылки перед нажатием, избегать загрузки подозрительных файлов и программного обеспечения, а также не выполнять подозрительные инструкции.
Ранее компания SlowMist призвала пользователей быть внимательнее с публикациями в соцсети Х — 80% комментариев под твитами криптопроектов оставляют злоумышленники.