如何发现骗子用来窃取加密货币的虚假Zoom链接

据一位网络安全工程师称，黑客正试图通过一种复杂的基于网络钓鱼的恶意软件分发方案窃取Zoom用户的加密货币资产。

在本周早些时候的推特帖子中，一位匿名的网络安全工程师和NFT收藏家NFT_Dreww.eth提请人们注意这一新方案。他写道：“骗子们变得非常老练，他们已经进化出模仿zoom的策略，如果下载，就会从你的设备上拿走一切……到目前为止，被盗金额已超过30万美元……”。

德鲁解释说，罪犯通常会利用一些虚构的机会接近潜在的受害者。给出的例子是声称想要许可他们的知识产权，把他们作为客人带到推特空间，要求他们成为天使投资者或加入他们的项目团队。

然后，他们坚持通过Zoom讨论这个机会，这给了骗子分享恶意链接的机会。攻击者还使用高压战术，比如发送一张Zoom通话的截图，上面全是等待受害者的人。

即使受害者安装了Zoom，在下载ZoomInstallerFull.exe时，看起来合法的页面也会显示加载屏幕。但实际上，伪装成Zoom安装程序的恶意软件会提示受害者接受Windows用户在安装新软件时习惯看到的条款和条件。

一旦“安装”完成，调用加载页面就会继续旋转，直到在某个时候将受害者重定向到合法的Zoom网站。Drew总结道，这是为了让“看起来只是一个小故障或需要很长时间才能加载”。当这种情况发生时，恶意软件已经被执行并完成了其功能。

当文件被执行时，恶意软件会立即执行并将自己放入Windows Defender排除列表中，这导致Windows无法阻止它。此时，恶意软件开始执行其有效载荷并提取用户信息，而受害者正忙于盯着旋转的加载视频通话屏幕并接受假装的条款和条件。

Drew强调，在这种情况下，病毒检测软件可能无法捕获此类恶意软件。

他写道：“当你处理这种程度的恶意软件时，很多时候工具都无法捕捉到这一点，比如Virus Total。所有这些工具都是作为一种检查，不应该被视为真相的来源。Virus道达尔很好，但如果你不具体搜索什么，它最终可能会伤害你。”

Immunefi的智能合约测试人员Artem Irgebaev告诉Decrypt，“防病毒的有效性取决于恶意软件在发送到目标之前是否被加密。我想说，在大多数情况下，它根本无效，因为威胁行为者准备对高价值目标进行攻击，并在与潜在受害者接触之前加密恶意软件。”

RiskLayer的核心贡献者兼Chainrisk Labs的首席执行官Sudipan Sinha进一步强调，“仅依赖防病毒软件有其缺点。”他解释说，“零日漏洞攻击是一种全新的、防病毒数据库未知的攻击，构成了重大挑战。

此外，防病毒软件无法防止社会工程策略欺骗用户无意中下载恶意软件。因此，尽管防病毒软件是网络安全防御的重要组成部分，但全面防范复杂攻击通常需要额外的安全措施和用户意识。”

逼真的缩放链接

此网络钓鱼活动中涉及的链接格式与合法的Zoom链接非常相似。正如Drew所解释的那样，Zoom使用Zoom.us域，该域具有基于位置的子域，美国用户可能会被重定向到us02web.Zoom.us。

另一方面，恶意链接使用us50web.us域的zoom子域。乍一看，由此产生的zoom.us50web.us可能看起来是合法的——这在很大程度上要归功于zoom域和子域令人困惑的命名方案。另外，Drew还引用了us50web-zoom.us域名作为例子。

他解释说：“非常重要的是要知道，一个“-”并不能使某物成为子域，它是顶级域的一部分，这会欺骗很多人。”。

德鲁强调，要避免像这样的社会工程攻击，需要很多关注。

德鲁总结道：“很容易上当……我怀疑80%的人会验证发送的链接中的每个字符，尤其是Zoom链接。”。同样，Irgebaev指出，“使用假Zoom域名非常有创意，这增加了可能被欺骗下载恶意软件的人数。”

加密货币犯罪并不是什么新鲜事

正如本周早些时候报道的那样，欧洲刑警组织最新的互联网有组织犯罪威胁评估显示，加密货币犯罪仍在不断发展。此外，研究人员认为，由于加密和去中心化使隐私越来越受到保护，情况只会变得更糟：

作者写道：“去中心化、区块链技术和P2P网络将继续为网络罪犯提供机会，因为它们使匿名和在当局视线之外进行交易变得更加容易。”。

由Stacy Elliott编辑。