Els pirates informàtics de Corea del Nord utilitzen la funció de zoom per robar milions de criptomonedes
Una nova i inquietant campanya de ciberdelinqüència s'adreça als comerciants i inversors de criptomonedes, utilitzant la coneguda plataforma de videoconferència Zoom com a vector d'atac. Els informes de l'Aliança de seguretat sense ànim de lucre (SEAL) i la firma de ciberseguretat Trail of Bits han exposat una operació astuta orquestrada per pirates informàtics de Corea del Nord, coneguts pels seus atacs implacables al sector cripto. Aquesta campanya, anomenada "Elusive Comet", revela fins a quin punt s'han convertit les amenaces d'enginyeria social sofisticades i com les eines de negoci quotidianes poden convertir-se en armes en mans equivocades.
Taula de continguts
Esquer de pesca dissimulat com a oportunitats de negoci
L'enfocament dels atacants és alhora convincent i subtil. Suplantant capitalistes de risc o amfitrions de podcasts, aquests pirates informàtics primer s'acosten amb el que sembla ser una proposta de negoci legítima. Sovint es contacta amb les víctimes mitjançant enllaços de Calendly, convidant-les a programar una reunió de Zoom per parlar d'una suposada inversió o aparició de podcast. La comunicació inicial està dissenyada per aparèixer com una oportunitat en lloc d'una amenaça, reduint les defenses de l'objectiu i creant un sentit d'urgència retardant els detalls de la reunió fins a l'últim minut.
Un cop la víctima s'uneix a la trucada de Zoom programada, els atacants fan el seu moviment. Sol·liciten que la víctima comparteixi la seva pantalla, una pregunta habitual en les discussions empresarials. Però aleshores, aprofitant la funció de control remot de Zoom, els pirates informàtics demanen el control de l'ordinador de la víctima. Un gir enganyós fa que aquesta sol·licitud sigui encara més perillosa: els atacants canvien el nom de visualització de Zoom a "Zoom", dissimulant el diàleg de permisos perquè sembli una notificació del sistema estàndard i inofensiva.
Un clic per a un compromís total
Aquest sol clic pot donar el control total del ratolí i el teclat de la víctima. Els atacants despleguen ràpidament programari maliciós infostealer o troians d'accés remot (RAT) que cerquen a la màquina sessions de navegador, contrasenyes desades, frases de llavor de cartera criptogràfica i altra informació sensible. Els registres de SEAL atribueixen "milions de dòlars" en fons robats a aquestes tàctiques, i assenyalen que els delinqüents confien en una xarxa de perfils de xarxes socials falsos i llocs web polits per donar credibilitat a la seva artimaña.
Trail of Bits va trobar l'atac de primera mà. El CEO de l'empresa va rebre missatges de perfils X (anteriorment Twitter) que afirmaven ser productors de Bloomberg, fent pressions per obtenir una entrevista d'última hora de Zoom sobre criptomoneda. En una inspecció més detinguda, els enllaços de la reunió de Zoom van conduir a comptes de qualitat del consumidor, no a comptes corporatius legítims. Els atacants es van negar constantment a comunicar-se per correu electrònic, insistint en Zoom, on podien llançar la seva explotació.
Una característica defectuosa convertida en vector d'atac
L'arrel de l'atac és la funció de control remot de Zoom, que està dissenyada per al treball col·laboratiu, però que es pot abusar si els usuaris no estan vigilants. Tot i que els amfitrions poden desactivar aquesta funció a nivell de compte, grup o usuari, sovint es deixa activada per defecte a la configuració corporativa. El quadre de diàleg de permisos no té cap signe distintiu per indicar una sol·licitud de tercers, cosa que facilita que els usuaris siguin enganyats per una indicació que sembla habitual.
Trail of Bits adverteix que aquest tipus d'atac és especialment efectiu perquè es basa en el comportament humà, no en errors de programari. Molts professionals estan acostumats a aprovar ràpidament les notificacions de Zoom i els atacants utilitzen aquesta familiaritat per evitar fins i tot les defenses dels usuaris experimentats. L'empresa dibuixa una línia directa d'aquesta campanya amb incidents recents d'alt perfil, com ara el pirateig de Bybit de 1.500 milions de dòlars, que també es basava en la manipulació de fluxos de treball legítims en lloc d'explotar les vulnerabilitats del codi.
Protecció contra l'esquiva amenaça del cometa
La implicació més àmplia és preocupant: a mesura que madura la indústria de la cadena de blocs, els atacants estan canviant el seu enfocament de les explotacions tècniques a les vulnerabilitats humanes. La seguretat operativa, la protecció dels processos i les decisions dels usuaris, s'ha convertit en tan important com la defensa dels errors del programari.
En resposta, Trail of Bits ha pres mesures contundents, desactivant la capacitat de control remot de Zoom i bloquejant els permisos d'accessibilitat que fan possibles aquests atacs, sense interferir amb l'ús normal de la videoconferència. Demanen a les organitzacions i persones del sector criptogràfic que facin el mateix, revisant la seva configuració de Zoom i educant els usuaris sobre els perills d'acceptar cegament les sol·licituds d'ús compartit de pantalla i de control remot.
Amb milions de persones que ja s'han perdut i els atacants continuen perfeccionant els seus mètodes, el missatge és clar: mai tracteu les eines de videoconferència com a lliures de risc. Si comercialitzeu, invertiu o treballeu a la indústria criptogràfica, penseu-ho dues vegades abans d'acceptar sol·licituds de reunió inesperades i mai aproveu un missatge de control remot sense una certesa absoluta de la seva legitimitat. L'amenaça pot semblar com sempre, però les apostes mai han estat més altes.