Севернокорейски хакери използват функцията Zoom, за да откраднат милиони в криптовалута
Нова и обезпокоителна кампания за киберпрестъпления е насочена към търговци на криптовалута и инвеститори, използвайки познатата платформа за видеоконференции Zoom като вектор за атака. Доклади от организацията с нестопанска цел Security Alliance (SEAL) и фирмата за киберсигурност Trail of Bits разкриха хитра операция, организирана от севернокорейски хакери, известни с безмилостните си атаки срещу крипто сектора. Тази кампания, наречена „Неуловима комета“, разкрива колко сложни са станали заплахите за социално инженерство – и как ежедневните бизнес инструменти могат да се превърнат в оръжия в грешни ръце.
Съдържание
Примамка за фишинг, маскирана като бизнес възможности
Подходът на нападателите е едновременно убедителен и фин. Представяйки се за инвеститори на рисков капитал или хостове на подкастове, тези хакери първо достигат до това, което изглежда като законно бизнес предложение. Жертвите често се свързват чрез връзки в Calendly, като ги канят да планират среща в Zoom, за да обсъдят предполагаема инвестиция или изява на подкаст. Първоначалната комуникация е предназначена да изглежда по-скоро като възможност, отколкото като заплаха, намалявайки защитите на целта и изграждайки усещане за неотложност чрез забавяне на подробностите за срещата до последната минута.
След като жертвата се присъедини към планираното повикване на Zoom, нападателите правят своя ход. Те искат жертвата да сподели своя екран - обикновен въпрос в бизнес дискусии. Но след това, използвайки функцията за дистанционно управление на Zoom, хакерите искат контрол над компютъра на жертвата. Измамно обръщане прави тази заявка още по-опасна: нападателите променят своето екранно име на Zoom на „Zoom“, прикривайки диалоговия прозорец за разрешение, за да изглежда като стандартно, безобидно системно известие.
Едно кликване до пълен компромис
Това едно щракване може да предаде пълен контрол върху мишката и клавиатурата на жертвата. Нападателите бързо внедряват злонамерен софтуер infostealer или троянски коне за отдалечен достъп (RAT), които търсят в машината сесии на браузъра, запазени пароли, фрази за стартиране на крипто портфейла и друга чувствителна информация. В регистрационните файлове на SEAL се приписват „милиони долари“ откраднати средства на тези тактики, като се отбелязва, че престъпниците разчитат на мрежа от фалшиви профили в социалните медии и излъскани уебсайтове, за да придадат доверие на хитростта си.
Trail of Bits се сблъска с атаката от първа ръка. Главният изпълнителен директор на фирмата получи съобщения от профили на X (бивш Twitter), които твърдяха, че са продуценти на Bloomberg, настоявайки за интервю в Zoom в последния момент за криптовалута. При по-внимателно разглеждане връзките за срещи в Zoom водят до потребителски акаунти, а не до легитимни корпоративни. Нападателите последователно отказват да комуникират по имейл, настоявайки за Zoom, където могат да стартират експлойта си.
Погрешна функция, превърнала се във вектор на атака
Коренът на атаката е функцията за дистанционно управление на Zoom, която е предназначена за съвместна работа, но може да бъде злоупотребена, ако потребителите не са бдителни. Въпреки че хостовете могат да деактивират тази функция на ниво акаунт, група или потребител, тя често остава включена по подразбиране в корпоративните настройки. В диалоговия прозорец за разрешение липсва какъвто и да е отличителен знак, който да показва заявка от трета страна, което улеснява потребителите да бъдат подмамени от подкана, която изглежда рутинна.
Trail of Bits предупреждава, че този тип атака е особено ефективна, тъй като разчита на човешкото поведение, а не на софтуерни грешки. Много професионалисти са свикнали бързо да одобряват Zoom известията, а нападателите използват това познаване, за да заобиколят защитите дори на опитни потребители. Фирмата прави пряка линия от тази кампания към скорошни инциденти с висок профил, като хакването на Bybit за 1,5 милиарда долара, което също разчиташе на манипулиране на легитимни работни потоци, а не на използване на уязвимости в кода.
Защита срещу неуловимата кометна заплаха
По-широкото значение е обезпокоително: с развитието на блокчейн индустрията нападателите изместват фокуса си от технически експлойти към човешки уязвимости. Оперативната сигурност – защитата на процесите и решенията на потребителите – стана също толкова важна, колкото защитата срещу софтуерни дефекти.
В отговор Trail of Bits предприе строги мерки, деактивирайки възможността за дистанционно управление на Zoom и блокирайки разрешенията за достъпност, които правят подобни атаки възможни, без да се намесва в нормалното използване на видеоконференции. Те призовават организациите и отделните лица в крипто сектора да направят същото, като преразгледат настройките си за мащабиране и обучават потребителите за опасностите от сляпото приемане на заявки за споделяне на екрана и дистанционно управление.
Тъй като вече са изгубени милиони и нападателите продължават да усъвършенстват методите си, посланието е ясно: никога не третирайте инструментите за видеоконференции като безрискови. Ако търгувате, инвестирате или работите в крипто индустрията, помислете два пъти, преди да приемете неочаквани заявки за среща – и никога не одобрявайте подкана за дистанционно управление без абсолютна сигурност в нейната легитимност. Заплахата може да изглежда като бизнес както обикновено, но залозите никога не са били по-високи.