Nordkoreanske hackere udnytter zoomfunktionen til at stjæle millioner i kryptovaluta
En ny og foruroligende cyberkriminalitetskampagne er rettet mod cryptocurrency-handlere og investorer ved at bruge den velkendte videokonferenceplatform Zoom som angrebsvektor. Rapporter fra nonprofit Security Alliance (SEAL) og cybersikkerhedsfirmaet Trail of Bits har afsløret en snedig operation orkestreret af nordkoreanske hackere, kendt for deres ubønhørlige angreb på kryptosektoren. Denne kampagne, kaldet "Elusive Comet", afslører, hvor sofistikerede sociale ingeniørmæssige trusler er blevet - og hvordan hverdagslige forretningsværktøjer kan blive våben i de forkerte hænder.
Indholdsfortegnelse
Phishing lokkemad maskerad som forretningsmuligheder
Angribernes tilgang er både overbevisende og subtil. Disse hackere efterligner venturekapitalister eller podcast-værter og når først ud med, hvad der ser ud til at være et legitimt forretningsforslag. Ofre bliver ofte kontaktet via Calendly-links, der inviterer dem til at planlægge et Zoom-møde for at diskutere en formodet investering eller podcast-optræden. Den indledende kommunikation er designet til at fremstå som en mulighed snarere end en trussel, sænke målets forsvar og opbygge en følelse af uopsættelighed ved at forsinke mødedetaljer til sidste øjeblik.
Når offeret slutter sig til det planlagte Zoom-opkald, foretager angriberne deres træk. De anmoder om, at ofret deler deres skærm – en almindelig spørgelyst i forretningsdiskussioner. Men så, ved at udnytte Zooms fjernbetjeningsfunktion, beder hackerne om kontrol over ofrets computer. Et vildledende twist gør denne anmodning endnu mere farlig: Angriberne ændrer deres Zoom-visningsnavn til "Zoom", og skjuler tilladelsesdialogboksen til at ligne en standard, harmløs systemmeddelelse.
Et klik for at gå på kompromis
Dette enkelt klik kan give fuld kontrol over ofrets mus og tastatur. Angriberne implementerer hurtigt infostealer-malware eller fjernadgangstrojanske heste (RAT'er), der søger på maskinen efter browsersessioner, gemte adgangskoder, crypto wallet-frøsætninger og andre følsomme oplysninger. SEALs logfiler tilskriver "millioner af dollars" i stjålne midler til disse taktikker, og bemærker, at de kriminelle stoler på et netværk af falske sociale medieprofiler og polerede websteder for at give troværdighed til deres list.
Trail of Bits stødte på angrebet på egen hånd. Firmaets administrerende direktør modtog beskeder fra X (tidligere Twitter) profiler, der hævdede at være Bloomberg-producenter, og pressede hårdt på for et Zoom-interview i sidste øjeblik om kryptovaluta. Ved nærmere eftersyn førte Zoom-mødelinkene til forbrugerkonti, ikke legitime virksomhedskonti. Angriberne nægtede konsekvent at kommunikere via e-mail og insisterede på Zoom, hvor de kunne starte deres udnyttelse.
En mangelfuld funktion blev angrebsvektor
Roden til angrebet er Zooms fjernbetjeningsfunktion, som er designet til samarbejde, men kan misbruges, hvis brugerne ikke er på vagt. Selvom værter kan deaktivere denne funktion på konto-, gruppe- eller brugerniveau, er den ofte slået til som standard i virksomhedsindstillinger. Tilladelsesdialogen mangler ethvert kendetegn for at angive en tredjepartsanmodning, hvilket gør det nemt for brugere at blive narret af en prompt, der ser rutinemæssig ud.
Trail of Bits advarer om, at denne type angreb er særlig effektiv, fordi den er afhængig af menneskelig adfærd, ikke softwarefejl. Mange fagfolk er vant til hurtigt at godkende Zoom-notifikationer, og angriberne udnytter denne kendskab til at omgå selv erfarne brugeres forsvar. Firmaet trækker en direkte linje fra denne kampagne til nylige højprofilerede hændelser, såsom Bybit-hacket på 1,5 milliarder dollar, som også var afhængig af at manipulere legitime arbejdsgange i stedet for at udnytte kodesårbarheder.
Beskyttelse mod den undvigende komettrussel
Den bredere implikation er bekymrende: Efterhånden som blockchain-industrien modnes, flytter angribere deres fokus fra tekniske udnyttelser til menneskelige sårbarheder. Operationel sikkerhed – beskyttelse af brugernes processer og beslutninger – er blevet lige så vigtigt som at forsvare sig mod softwarefejl.
Som reaktion herpå har Trail of Bits truffet stærke foranstaltninger, deaktiveret Zooms fjernbetjeningsfunktion og blokeret de tilgængelighedstilladelser, der gør sådanne angreb mulige, uden at forstyrre normal brug af videokonferencer. De opfordrer organisationer og enkeltpersoner i kryptosektoren til at gøre det samme ved at gennemgå deres Zoom-indstillinger og oplyse brugerne om farerne ved blindt at acceptere skærmdeling og fjernbetjeningsanmodninger.
Med millioner, der allerede er tabt, og angribere fortsætter med at forfine deres metoder, er budskabet klart: Behandl aldrig videokonferenceværktøjer som risikofrie. Hvis du handler, investerer eller arbejder i kryptoindustrien, så tænk dig om to gange, før du accepterer uventede mødeforespørgsler – og godkend aldrig en fjernbetjeningsprompt uden absolut sikkerhed for dens legitimitet. Truslen kan ligne business as usual, men indsatsen har aldrig været højere.