早上起來就見幾個微信群在傳@lsp 8940遭遇假 zoom 連結被盜 1 M usd( https://x.com/lsp8940/status/1871350801270296709 ),這讓我想起18 號我也遇到了類似的事,當時是一個老外私訊我要合作,溝通了幾次時間,然後約到晚上9 點zoom會議裡聊,到時間後老外給我發了一個會議室的鏈接,如下
https://app.us4zoom.us/j/8083344643?pwd= seyuvstpldar 6 ugeEtcGGury 936 qBCQr #success
(重要提示,這是一個釣魚鏈接,不要點擊!不要點擊!不要點擊! )
當時我看到這個連結後有些奇怪,這個網域是us4zoom ,看著有些不正規,但是我之前沒用過zoom 也就不太確定,然後我就去google 搜尋和perplexity 上查詢,發現官網是zoom. us,和騙子給的網域對不上。
騙子給的連結會讓下載一個安裝包,下載完的檔案有些小,和正常的安裝包大小相差太多,如下
當打開假 zoom 安裝包時就會發現一個明顯的問題,正常的軟體安裝是基本是讓你一路點“繼續”,然後安裝就結束了,比如真的 zoom 安裝包安裝時界面如圖
假 zoom 安裝包的安裝介面如下
這是什麼鬼,為什麼要讓我們把Zoom.file 這個檔案拖到終端機裡執行,這明顯就有問題,我當時就用文字編輯器把Zoom.file 打開,發現裡面是一個bash 的腳本,但是內容我完全看不懂,看起來像是被加密了。
不過也不怕,我當時就把整個內容丟給了 gpt,讓 gpt 幫我分析這個腳本
gpt 告訴我這段程式碼被 base 64 編碼隱藏了,解碼後發現這個腳本的主要作用就是從安裝包中把木馬檔案.ZoomApp 複製到/tmp 目錄中執行。這個木馬檔案因為被隱藏了,預設是看不到的。
對這個木馬文件的分析就超出了我的能力啦,gpt 也沒法給出實際的幫助,這部分的分析需要專業的安全人員接力。不過可以猜測這個木馬會掃描關鍵的文件進行上傳,例如瀏覽器中插件錢包的本地文件,記得 21 年是可以根據 metamask 的本地文件恢復出私鑰,前提是知道設置的密碼或暴力破解。
透過這次事件我們可以得出幾個結論:
1.騙子是在廣泛撒網, @cutepanda web3今天也發推說遇到同樣的騙局。
2、這是同一個騙子,透過@lsp 8940的複盤推文可以知道我倆收到的假 zoom 會議連結完全一樣。
https://x.com/lsp8940/status/1871426071499100630
3.推特上陌生人的私訊要慎重,特別是這個陌生人沒有發過推文,你的共同好友沒有關注過他。
4.瀏覽器的插件錢包密碼盡量設定複雜些,這樣當瀏覽器的插件檔案外洩時也能增加被破解的難度。
安全無小事,希望大家不要踩坑。
