仮想通貨手数料還付プラットフォーム - ヘイモアロゴ

仮想通貨分析

イーサリアム開発者がStreamYardの偽ドメインを使ったフィッシング詐欺を暴露

2025-09-17 00:15

Ethereum developer exposes phishing scam using fake StreamYard domain

イーサリアムのコア開発者であるZak Cole氏は最近、フィッシング詐欺の標的にされた。ザックによると、この試みは偽のドメインと悪意のあるインストーラーに依存しており、彼のコンピューターから暗号の認証情報とデータを盗んだという。コールは月曜日遅くに21投稿のXスレッドを書き、詐欺がXのダイレクトメッセージで "ポッドキャストに参加しよう!"と誘われたことから始まったという。2/21 全ては "我々のポッドキャストに参加せよ!"というツイッターのDMから始まった。攻撃者(@0xMauriceWang)は@theempirepodの誰かを装っていた。ざっと目を通しただけでは合法的に見えたので、同意した。その後、studio@theempirepodcast.com、@StreamYardのリンクが貼られたメールが届いた。テキストには... pic.twitter.com/fEvazOVFs5 - zak.eth (@0xzak) September 15, 2025 ソーシャル・プラットフォーム上で@0xMauriceWangというハンドルネームを使用した送信者は、BlockworkのEmpireポッドキャストの代表者を装い、Zakが言うところの "合法的なポッドキャスト・ドメイン "のようなものからメールを送ってきた。フィッシャーはザックが悪意のあるアプリをインストールするのを「手助け」しようとした Etherのコア開発者によると、メールにはstreamyard.comと表示されたリンクが含まれていたが、実際にはstreamyard.orgにハイパーリンクされていた。コールがクリックすると、ページは「error joining」メッセージを返し、続けるにはデスクトップアプリケーションをダウンロードするよう指示した。ザック・コール宛ての詐欺師のメール。ソースはこちら:Zak.ethのXアカウント ColeがXスレッドで共有したスクリーンショットでは、彼は会社のセキュリティ・ポリシーのため、最初はインストールを拒否したが、攻撃者は「今回だけ」追加するよう懇願し、想定されるアプリのインストール方法を示すビデオ・チュートリアルまで送ってきた。「StreamYardは300万人以上のユーザーを抱えている。私も会社のラップトップを持っているが、すべて問題ない。ブラウザ版はほとんど機能しない。ブラウザ版はほとんど機能せず、実際に接続できるのは20回に1回程度だ。マーケティングとしてブラウザ版を残しているのは確かだが、実際にはみんなデスクトップアプリを使っている。ずっと安定している。そのときコールは「赤信号だらけ」だと思い、仕事用のコンピューターではなく、管理されているラボのマシンにパッケージをダウンロードした。DMGファイルの中に、彼は「.Streamyard」という名前の隠されたMach-Oバイナリ、Bashローダー、そしてシステムレベルのアクセスを得るためにユーザーを騙してドラッグさせるための偽のターミナルアイコンを発見した。彼は、このローダーを「ロシアのでたらめな入れ子人形」と表現し、base64の断片を連結し、キーで復号化し、結果を再エンコードして実行する方法を説明した。各ステップは、アンチウイルスの検出を回避することを意図していた。"オフラインで解読されたStage2は、マウントされたボリュームを見つけ、.Streamyardを/tmp/.Streamyardにコピーし、xattr -cで隔離を解除し、chmod +xし、実行するAppleScriptだった。静かで、外科的で、致命的です」と、開発者はコードの行をメモしながら説明した。Cole氏は、被害者がmacOS Gatekeeperを無効にしたり、フィッシングのTerminal dragトリックに引っかかったりした場合、マルウェアはパスワード、暗号ウォレット、電子メール、メッセージ、写真など、すべてを静かに流出させただろうと付け加えた。攻撃者との会話から、雇われたマルウェア・サービスが判明 操作を停止する代わりに、コールは詐欺師に助けを求めた後、詐欺師とのライブ通話に参加した。詐欺師は緊張した様子で、台本を読みながら偽のインストールを案内しようとしていた。ビデオ通話セッションの間、Etherプログラマーは画面共有を始め、攻撃者のバランスを崩すために露骨な金正恩のビデオのフォルダをスクロールした。なぜうまくいかないのか、彼が答えを迫ると、詐欺師は自分が国家が支援する作戦の一部ではなく、フィッシング・キットを毎月約3000ドルでレンタルしているハッカーの活発なコミュニティにいたことを認めた。コール氏は、この攻撃者は「mate(仲間)」などの口語表現を使い、被害者を騙して、自分が英国や米国に近い場所に拠点を置いていると思い込ませていたと指摘した。攻撃者はまた、インフラを直接制御しておらず、ペイロードドメインを管理できないこと、そして "格安のサイバー犯罪サービス "を利用していたことを明らかにした。14/21 キッカケは、配信にhttps://t.co/3gJrz4EVIl(load.*.php?call=streamエンドポイント)、おびき寄せにhttps://t.co/NqE3HGJVms(@streamyardapp )を使っていたことで、現在はどちらも燃えている(@_SEAL_Orgに感謝)。 pic.twitter.com/B0zbCmxzpj - zak.eth (@0xzak) 2025年9月15日 クラウドソーシング型セキュリティインテリジェンス企業VirusTotalの調査結果によると、彼らが使用した配信インフラは、スクリプト化されたエンドポイントを通じてペイロードをホストするlefenari.comと、ルアーとしてのstreamyard.orgでした。両ドメインは現在、サイバーセキュリティ企業Security Allianceの支援により無効化されている。重要な場所で見られるクリプトポリタンリサーチに広告を掲載し、暗号の最も鋭い投資家や構築者にリーチしましょう。

https://www.cryptopolitan.com/ethereums-zak-targeted-by-sophisticated-scam/