Uma campanha de phishing altamente sofisticada, disfarçada como convites para reuniões no Zoom, resultou no roubo de milhões de dólares em criptomoedas, conforme análise recente da empresa de segurança blockchain SlowMist. Explorando a confiança dos usuários em plataformas de comunicação amplamente utilizadas, os atacantes implantaram malwares que comprometem sistemas e roubam dados sensíveis, incluindo carteiras de criptomoedas.

Os links fraudulentos, projetados para imitar convites legítimos do Zoom, redirecionavam as vítimas para um domínio falso, com aparência idêntica à interface do Zoom. Em vez de iniciar o cliente Zoom, ao clicar no botão “Launch Meeting,” o site iniciava o download de um pacote malicioso chamado “ZoomApp_v.3.14.dmg”. Conforme a pesquisa, logs do backend do site revelaram scripts em russo monitorando downloads através da API do Telegram.

“Desde 14 de novembro, os criminosos vêm monitorando as vítimas e utilizando a API do Telegram para verificar cliques no botão de download na página falsa,” aponta o relatório. Após o download e execução, o aplicativo falso do Zoom solicitava a senha do sistema da vítima, facilitando uma infiltração mais profunda. O malware fazia uso de um script identificado como “ZoomApp.file” para executar códigos adicionais, o que levava à ativação de um arquivo oculto chamado “.ZoomApp.”

Esse programa era projetado para coletar uma ampla gama de informações sensíveis de forma sistemática. Entre os dados comprometidos estavam informações do sistema, detalhes do navegador, chaves de acesso a carteiras de criptomoedas, dados do aplicativo Telegram e do recurso de Notas.