Severokorejští hackeři využívají funkci Zoom k ukradení milionů v kryptoměně
Nová a znepokojivá kampaň zaměřená na kyberzločin se zaměřuje na obchodníky s kryptoměnami a investory, přičemž jako vektor útoku využívá známou platformu pro videokonference Zoom. Zprávy neziskové organizace Security Alliance (SEAL) a kybernetické firmy Trail of Bits odhalily lstivou operaci organizovanou severokorejskými hackery, známými svými neúnavnými útoky na krypto sektor. Tato kampaň nazvaná „Elusive Comet“ odhaluje, jak sofistikované hrozby sociálního inženýrství se staly – a jak se každodenní obchodní nástroje mohou stát zbraněmi ve špatných rukou.
Obsah
Phishing Bait Masquerading jako obchodní příležitosti
Přístup útočníků je přesvědčivý i rafinovaný. Tito hackeři, kteří se vydávají za venture kapitalisty nebo hostitele podcastů, nejprve osloví něco, co se zdá být legitimním obchodním návrhem. Oběti jsou často kontaktovány prostřednictvím odkazů Calendly a zvou je, aby si naplánovaly schůzku Zoom, kde se prodiskutují domnělá investice nebo vzhled podcastu. Počáteční komunikace je navržena tak, aby se jevila spíše jako příležitost než jako hrozba, což snižuje obranu cíle a vytváří pocit naléhavosti odkládáním podrobností o schůzce na poslední chvíli.
Jakmile se oběť připojí k plánovanému Zoom hovoru, útočníci udělají svůj pohyb. Požadují, aby oběť sdílela jejich obrazovku – běžný dotaz v obchodních jednáních. Ale poté, s využitím funkce dálkového ovládání Zoom, hackeři požádají o kontrolu nad počítačem oběti. Klamný zvrat dělá tento požadavek ještě nebezpečnějším: útočníci změní svůj zobrazovaný název Zoom na „Zoom“, čímž maskují dialogové okno s oprávněním, aby vypadalo jako standardní, neškodné systémové oznámení.
Jedním kliknutím dosáhnete úplného kompromisu
Toto jediné kliknutí může předat plnou kontrolu nad myší a klávesnicí oběti. Útočníci rychle nasadí malware infostealer nebo trojské koně pro vzdálený přístup (RAT), které v počítači vyhledávají relace prohlížeče, uložená hesla, fráze pro šifrovací peněženky a další citlivé informace. Záznamy SEAL připisují těmto taktikám „miliony dolarů“ v ukradených prostředcích a poznamenávají, že zločinci spoléhají na síť falešných profilů na sociálních sítích a leštěných webových stránek, aby jejich lsti propůjčili důvěryhodnost.
Trail of Bits se s útokem setkal z první ruky. Generální ředitel společnosti obdržel zprávy z X (dříve Twitter) profilů, které tvrdily, že jsou producenty Bloombergu, a tvrdě prosazovaly rozhovor Zoom o kryptoměně na poslední chvíli. Při bližším zkoumání vedly odkazy na schůzku Zoom na účty spotřebitelské úrovně, nikoli na legitimní firemní účty. Útočníci neustále odmítali komunikovat přes e-mail a trvali na Zoomu, kde by mohli spustit svůj exploit.
Chybná funkce se změnila ve vektor útoku
Kořenem útoku je funkce dálkového ovládání Zoom, která je navržena pro spolupráci, ale pokud uživatelé nejsou ostražití, může být zneužita. Přestože hostitelé mohou tuto funkci zakázat na úrovni účtu, skupiny nebo uživatele, často je ve výchozím nastavení v podnikovém nastavení ponechána zapnutá. Dialogové okno oprávnění postrádá jakýkoli rozlišovací znak, který by označoval požadavek třetí strany, takže uživatelé mohou být snadno oklamáni výzvou, která vypadá jako rutina.
Trail of Bits varuje, že tento typ útoku je obzvláště účinný, protože spoléhá na lidské chování, nikoli na softwarové chyby. Mnoho profesionálů je zvyklých rychle schvalovat oznámení Zoom a útočníci využívají této znalosti k tomu, aby obešli obranu i zkušených uživatelů. Firma načrtává přímou linii z této kampaně k nedávným vysoce profilovaným incidentům, jako je hack Bybit v hodnotě 1,5 miliardy dolarů, který se také spoléhal na manipulaci s legitimními pracovními postupy spíše než na využívání zranitelností kódu.
Ochrana proti nepolapitelné kometové hrozbě
Širší implikace je znepokojující: jak blockchain průmysl dospívá, útočníci přesouvají své zaměření od technických exploitů k lidské zranitelnosti. Provozní bezpečnost – ochrana procesů a rozhodnutí uživatelů – se stala stejně důležitou jako obrana proti softwarovým chybám.
V reakci na to Trail of Bits přijal přísná opatření, deaktivoval možnost dálkového ovládání Zoomu a zablokoval přístupová oprávnění, která takové útoky umožňují, aniž by to narušilo běžné používání videokonferencí. Vyzývají organizace a jednotlivce v krypto sektoru, aby udělali totéž, zkontrolovali jejich nastavení Zoom a poučili uživatele o nebezpečích slepého přijímání požadavků na sdílení obrazovky a dálkové ovládání.
Vzhledem k tomu, že již byly ztraceny miliony a útočníci stále zdokonalují své metody, je poselství jasné: nikdy nepovažujte nástroje pro videokonference za bezrizikové. Pokud obchodujete, investujete nebo pracujete v kryptoprůmyslu, dobře si rozmyslete, než přijmete neočekávané žádosti o schůzku – a nikdy neschvalujte výzvu k dálkovému ovládání bez absolutní jistoty její legitimity. Hrozba může vypadat jako obvykle, ale sázky nikdy nebyly vyšší.