قیمت چند مجوز تخفیف
امنیت کامپیوتر هکرهای کره شمالی از ویژگی Zoom برای سرقت میلیون‌ها ارز...

هکرهای کره شمالی از ویژگی Zoom برای سرقت میلیون‌ها ارز دیجیتال سوء استفاده می‌کنند

تا Mura در امنیت کامپیوتر
ترجمه به:
فارسی

یک کمپین جدید و نگران‌کننده جرایم سایبری، معامله‌گران و سرمایه‌گذاران ارزهای دیجیتال را هدف قرار می‌دهد و از پلتفرم کنفرانس ویدیویی آشنا Zoom به عنوان بردار حمله استفاده می‌کند. گزارش‌های اتحادیه غیرانتفاعی امنیت (SEAL) و شرکت امنیت سایبری Trail of Bits، عملیات حیله‌گرانه‌ای را که توسط هکرهای کره شمالی تنظیم شده بود، افشا کرده‌اند که به دلیل حملات بی‌امان خود به بخش کریپتو شناخته می‌شوند. این کمپین که «دنباله‌دار گریزان» نامیده می‌شود، نشان می‌دهد که تهدیدات مهندسی اجتماعی چقدر پیچیده شده‌اند و چگونه ابزارهای تجاری روزمره می‌توانند به سلاح در دستان اشتباه تبدیل شوند.

طعمه های فیشینگ به عنوان فرصت های کسب و کار

رویکرد مهاجمان هم قانع کننده و هم ظریف است. این هکرها با جعل هویت سرمایه گذاران خطرپذیر یا میزبان پادکست، ابتدا با چیزی که به نظر می رسد یک پیشنهاد تجاری مشروع است، دست به دست می شوند. با قربانیان اغلب از طریق پیوندهای Calendly تماس گرفته می شود و از آنها دعوت می شود تا یک جلسه Zoom را برای بحث در مورد سرمایه گذاری فرضی یا ظاهر پادکست برنامه ریزی کنند. ارتباط اولیه به گونه‌ای طراحی شده است که به‌جای تهدید به‌عنوان یک فرصت ظاهر شود، دفاع هدف را کاهش داده و با به تاخیر انداختن جزئیات جلسه تا آخرین لحظه، احساس فوریت ایجاد کند.

هنگامی که قربانی به تماس زوم برنامه ریزی شده می پیوندد، مهاجمان حرکت خود را انجام می دهند. آنها درخواست می کنند که قربانی صفحه نمایش خود را به اشتراک بگذارد - یک سوال معمولی در بحث های تجاری. اما پس از آن، هکرها با استفاده از قابلیت کنترل از راه دور زوم، کنترل کامپیوتر قربانی را درخواست می کنند. یک چرخش فریبنده این درخواست را حتی خطرناک‌تر می‌کند: مهاجمان نام نمایش زوم خود را به "Zoom" تغییر می‌دهند و گفتگوی مجوز را مانند یک اعلان سیستم استاندارد و بی‌ضرر پنهان می‌کنند.

یک کلیک برای سازش کامل

این یک کلیک می تواند کنترل کامل ماوس و صفحه کلید قربانی را به دست بگیرد. مهاجمان به سرعت بدافزار infostealer یا تروجان های دسترسی از راه دور (RAT) را مستقر می کنند که دستگاه را برای جلسات مرورگر، رمزهای عبور ذخیره شده، عبارات اولیه کیف پول رمزنگاری و سایر اطلاعات حساس جستجو می کند. گزارش‌های SEAL «میلیون‌ها دلار» در وجوه دزدیده شده را به این تاکتیک‌ها نسبت می‌دهند و اشاره می‌کنند که مجرمان برای اعتبار بخشیدن به حیله‌های خود به شبکه‌ای از پروفایل‌های جعلی رسانه‌های اجتماعی و وب‌سایت‌های جعلی متکی هستند.

Trail of Bits به طور مستقیم با حمله روبرو شد. مدیر عامل شرکت پیام‌هایی را از پروفایل‌های X (توئیتر سابق) دریافت کرد که ادعا می‌کردند تولیدکنندگان بلومبرگ هستند و برای مصاحبه لحظه آخری زوم در مورد ارز دیجیتال به شدت فشار می‌آوردند. با بررسی دقیق‌تر، پیوندهای جلسه Zoom به حساب‌های درجه مصرف‌کننده منجر شد، نه حساب‌های شرکتی قانونی. مهاجمان به طور مداوم از برقراری ارتباط از طریق ایمیل امتناع می‌ورزیدند و بر زوم اصرار می‌ورزیدند، جایی که می‌توانستند بهره‌برداری خود را راه‌اندازی کنند.

یک ویژگی معیوب تبدیل به بردار حمله

ریشه این حمله قابلیت کنترل از راه دور Zoom است که برای کارهای مشترک طراحی شده است اما اگر کاربران هوشیار نباشند می توان از آن سوء استفاده کرد. اگرچه میزبان ها می توانند این عملکرد را در سطح حساب، گروه یا کاربر غیرفعال کنند، اما اغلب به طور پیش فرض در تنظیمات شرکت فعال باقی می ماند. گفتگوی مجوز فاقد هرگونه علامت متمایز کننده برای نشان دادن درخواست شخص ثالث است و فریب دادن درخواستی که به نظر معمولی به نظر می رسد برای کاربران آسان می کند.

Trail of Bits هشدار می دهد که این نوع حمله به ویژه مؤثر است زیرا بر رفتار انسان متکی است نه اشکالات نرم افزاری. بسیاری از حرفه ای ها به تایید سریع اعلان های Zoom عادت دارند و مهاجمان از این آشنایی برای دور زدن حتی دفاع کاربران با تجربه استفاده می کنند. این شرکت خط مستقیمی از این کمپین به حوادث پرمخاطب اخیر، مانند هک 1.5 میلیارد دلاری Bybit ترسیم می‌کند، که همچنین به جای استفاده از آسیب‌پذیری‌های کد، به دستکاری گردش‌های کاری قانونی متکی بود.

محافظت در برابر تهدید ستاره دنباله دار

مفهوم گسترده‌تر آن نگران‌کننده است: با بلوغ صنعت بلاک چین، مهاجمان تمرکز خود را از سوء استفاده‌های فنی به آسیب‌پذیری‌های انسانی تغییر می‌دهند. امنیت عملیاتی - محافظت از فرآیندها و تصمیمات کاربران - به اندازه دفاع در برابر نقص های نرم افزار مهم شده است.

در پاسخ، Trail of Bits اقدامات قوی انجام داده است، قابلیت کنترل از راه دور Zoom را غیرفعال کرده و مجوزهای دسترسی را که چنین حملاتی را ممکن می‌سازند، بدون تداخل در استفاده معمولی کنفرانس ویدیویی مسدود کرده است. آن‌ها از سازمان‌ها و افراد در بخش کریپتو می‌خواهند که همین کار را انجام دهند، تنظیمات Zoom خود را بررسی کنند و به کاربران در مورد خطرات پذیرش کورکورانه درخواست‌های اشتراک‌گذاری صفحه و کنترل از راه دور آموزش دهند.

با وجود میلیون‌ها نفر از دست رفته‌اند و مهاجمان به اصلاح روش‌های خود ادامه می‌دهند، پیام واضح است: هرگز ابزار کنفرانس ویدیویی را بدون خطر تلقی نکنید. اگر در صنعت کریپتو معامله می کنید، سرمایه گذاری می کنید یا کار می کنید، قبل از پذیرش درخواست های ملاقات غیرمنتظره دو بار فکر کنید – و هرگز درخواست کنترل از راه دور را بدون اطمینان کامل از مشروعیت آن تایید نکنید. تهدید ممکن است مانند تجارت معمول به نظر برسد، اما ریسک هرگز بالاتر از این نبوده است.

بارگذاری...