对推特用户被窃取100万USDT事件的木马分析
一个币圈的用户在推特反馈他被植入木马之后被窃取100万usdt的遭遇,如下图为他描述的他的遭遇和他对这个事情的复盘:
这里主要是针对这个事件背后的木马和资产的简单分析。
他反馈的链接zoom链接如下:
https://app.us4zoom.us/j/8083344643?pwd=seyuvstpldar6ugeEtcGGury936qBCQr#success |
打开之后的界面如下:
点运行会议,他会根据请求的useragent取下载不同的木马,我这边实验了2个环境,一个是windows,一个是mac。
Mac
Mac木马的下载地址:
https://cpofficial.com/9bc5b7d082b3de36b/6ec88dc42bada02ff/load.72fd0e65874002781003e06f2.php?call=prv |
下载回来的是一个dmg的包,下图为安装界面:
安装过程是它先执行下面的代码,代码是base64编码的
解码之后如下,可以看到是把同目录下的.Zoom复制到tmp下并运行起来。
其中.Zoom就是木马,该木马会解密一个hex的数据,并执行代码,代码的主要功能就是收集mac的各种凭据信息:
会把收集电脑上的凭据,然后打包传走,回连地址为
http:// 141.98.9.20/joinsystem |
Windows
Windows木马的下载链接如下:
https://ucd00ebb5265ebceb13f651fa5bd.dl.dropboxusercontent.com/cd/0/get/Cg3w4FAUL5dS5geJ3rveOfNsshZYdqVymWXYbRD00SRrYtM0iPZtMcVv0ysSNf3o6pxEDs42Qkp7w39XfbjJzEHEEJaz4W1LZJLQJb71o3jHSivQysX4a7C2kPv4bvUE45eypbvbnaN6jdBSO7sYJXUq/file?dl=1# |
可以看到是从dropbox上下载的,下载回来的安装包是一个带签名的,11月27日签的名。
这个样本在VT是0查杀:
安装之后,会释放一堆文件,其中比较重要的就是下面的2个文件,其他的都是库。
其中Zoom.exe也是带同样的数字签名,签名时间和前面的一样:
运行之后可以看到这个exe是画了一个假的zoom的界面,只有当你点continue按钮的时候,才会触发网络连接回连攻击者的地址ecofriendlyhub.org
发的数据包如下,猜测是一个验证包,如果验证通过的话应该会继续请求后面的数据,然后在内存中下载木马执行,我这边只请求了一次数据包就结束了。
这个木马的主要代码都是在zoom.dll中,它是一个C#写的,被严重混淆了,由于没有去混淆,就没有做具体的分析了。
可以看到这个域名的注册时间是2024年11月2日,也是11月以来才开始行动的。
从vt上搜到的url如下,发现这个团伙不但会伪装zoom,也会伪装kaokaotalk等.
IoCs
cpofficial.com
ecofriendlyhub.org
http:// 141.98.9.20/joinsystem