Эксперты по безопасности блокчейнов из компании SlowMist сообщили о новой схеме криптовалютного мошенничества, связанной с фишинговыми ссылками на платформу Zoom.
Злоумышленники создали поддельный домен app[.]us4zoom[.]us, который внешне напоминает официальный сайт Zoom.
Пользователей обманом заставляют нажать кнопку «Запустить конференцию» (Launch Meeting), после чего на устройство загружается вредоносный файл ZoomApp_v.3.14.dmg.
После его установки запускается скрипт под названием ZoomApp.file, который требует пароль от пользователя и устанавливает скрытый файл .ZoomApp, предназначенный для кражи конфиденциальной информации.
Это включает файлы cookie и учетные данные криптовалютных кошельков, а также логины к мессенджеру Telegram.
Анализ вредоносного ПО показал, что оно способно расшифровывать данные, искать пути плагинов и похищать учетные записи с устройств жертв.
Украденная информация сжимается и отправляется на сервер хакеров, что позволяет получить полный доступ к криптокошелькам пострадавших.
С момента начала действия схемы в ноябре 2024 года, жертвы понесли многомиллионные убытки.
Одно из расследований выявило адрес, связанный с хакерами, где были хранили украденные криптоактивы на сумму более $1 млн.
Часть активов была конвертирована в 296 ETH и переведена на криптобиржи Binance и Bybit.
В другом случае было обнаружено, что небольшое количество эфиров было отправлено на почти 8800 адресов.
В ноябре жертвой аналогичной схемы стал пользователь, который потерял токены Gigachad (GIGA) на сумму свыше $6 млн, перейдя по фишинговой ссылке.
SlowMist призывает пользователей быть внимательными, проверять ссылки перед нажатием, избегать загрузки подозрительных файлов и не выполнять сомнительные инструкции.
Ранее компания также указывала на то, что 80% комментариев к твитам криптопроектов оставляются мошенниками, предлагая пользователям быть более осторожными.
