Криптоинвесторов обманывают через поддельный Zoom

С ноября 2024 года криптосообщество столкнулось с новой волной фишинговых атак, в ходе которых мошенники маскируются под сервис видеоконференций Zoom. Злоумышленники создали поддельный домен — app[.]us4zoom[.]us — визуально идентичный официальному сайту Zoom.

Пользователей убеждают нажать кнопку «Launch Meeting» (Запустить конференцию), после чего на устройство загружается вредоносный файл ZoomApp_v.3.14.dmg. После установки он активирует скрипт ZoomApp.file, запрашивающий пароль администратора.

На этом этапе запускается скрытая установка файла .ZoomApp, который незаметно извлекает с устройства:

• cookie-файлы;

• данные криптовалютных кошельков;

• учётные данные от Telegram;

• расширения и плагины браузеров.

Затем информация шифруется, сжимается и отправляется на удалённый сервер, откуда злоумышленники получают доступ к активам жертв.

Исследователи выявили адрес, связанный с группой хакеров, на котором находились криптоактивы на сумму более $1 млн, впоследствии конвертированные в 296 ETH и переведённые на биржи Binance и Bybit. Также обнаружен ещё один адрес, с которого в разное время было отправлено небольшое количество эфиров почти на 8800 разных кошельков, что говорит о широкой географии атак.

Наиболее крупной зафиксированной потерей стал случай с пользователем, у которого после перехода по вредоносной ссылке было похищено более $6 млн в токенах Gigachad (GIGA).

Эксперты предупреждают: при открытии Zoom-конференций всегда проверяйте URL сайта, не устанавливайте подозрительные приложения и никогда не вводите пароли по запросу неофициальных программ.