Gli hacker nordcoreani sfruttano la funzionalità Zoom per rubare milioni di dollari in criptovalute
Una nuova e inquietante campagna di criminalità informatica sta prendendo di mira trader e investitori di criptovalute, utilizzando la nota piattaforma di videoconferenza Zoom come vettore di attacco. I rapporti dell'organizzazione no-profit Security Alliance (SEAL) e della società di sicurezza informatica Trail of Bits hanno svelato un'astuta operazione orchestrata da hacker nordcoreani, noti per i loro incessanti attacchi al settore delle criptovalute. Questa campagna, soprannominata "Elusive Comet", rivela quanto siano diventate sofisticate le minacce di ingegneria sociale e come gli strumenti aziendali di uso quotidiano possano trasformarsi in armi nelle mani sbagliate.
Sommario
Esche di phishing mascherate da opportunità di business
L'approccio degli aggressori è al tempo stesso convincente e subdolo. Impersonando investitori di venture capital o conduttori di podcast, questi hacker si rivolgono inizialmente a quella che sembra una proposta commerciale legittima. Le vittime vengono spesso contattate tramite link di Calendly, che le invitano a fissare una riunione su Zoom per discutere di un presunto investimento o di un'apparizione in un podcast. La comunicazione iniziale è concepita per apparire come un'opportunità piuttosto che una minaccia, abbassando le difese della vittima e creando un senso di urgenza rimandando i dettagli dell'incontro all'ultimo minuto.
Una volta che la vittima si unisce alla chiamata Zoom programmata, gli aggressori fanno la loro mossa. Chiedono alla vittima di condividere il proprio schermo – una richiesta normale nelle conversazioni di lavoro. Ma poi, sfruttando la funzione di controllo remoto di Zoom, gli hacker chiedono il controllo del computer della vittima. Un trucco rende questa richiesta ancora più pericolosa: gli aggressori modificano il nome visualizzato su Zoom in "Zoom", camuffando la finestra di dialogo di autorizzazione per farla sembrare una normale e innocua notifica di sistema.
Un clic per il compromesso totale
Un singolo clic può cedere il pieno controllo del mouse e della tastiera della vittima. Gli aggressori distribuiscono rapidamente malware infostealer o trojan di accesso remoto (RAT) che cercano nel computer sessioni del browser, password salvate, seed phrase di wallet di criptovalute e altre informazioni sensibili. I log dei SEAL attribuiscono "milioni di dollari" di fondi rubati a queste tattiche, evidenziando che i criminali si affidano a una rete di falsi profili sui social media e siti web truccati per dare credibilità al loro stratagemma.
Trail of Bits ha riscontrato l'attacco in prima persona. Il CEO dell'azienda ha ricevuto messaggi da X profili (ex Twitter) che si spacciavano per produttori di Bloomberg, insistendo per un'intervista dell'ultimo minuto su Zoom sulle criptovalute. A un esame più attento, i link alle riunioni su Zoom conducevano ad account di tipo consumer, non ad account aziendali legittimi. Gli aggressori si sono costantemente rifiutati di comunicare via email, insistendo su Zoom, dove avrebbero potuto lanciare il loro exploit.
Una funzionalità difettosa trasformata in un vettore di attacco
La radice dell'attacco è la funzione Controllo Remoto di Zoom, progettata per il lavoro collaborativo ma che può essere abusata se gli utenti non prestano la dovuta attenzione. Sebbene gli host possano disabilitare questa funzione a livello di account, gruppo o utente, spesso viene lasciata attiva per impostazione predefinita nelle impostazioni aziendali. La finestra di dialogo delle autorizzazioni è priva di qualsiasi segno distintivo che indichi una richiesta di terze parti, il che rende facile per gli utenti essere ingannati da un messaggio apparentemente di routine.
Trail of Bits avverte che questo tipo di attacco è particolarmente efficace perché si basa sul comportamento umano, non su bug software. Molti professionisti sono abituati ad approvare rapidamente le notifiche di Zoom e gli aggressori sfruttano questa familiarità per aggirare anche le difese degli utenti più esperti. L'azienda traccia una linea diretta tra questa campagna e recenti incidenti di alto profilo, come l'attacco informatico a Bybit da 1,5 miliardi di dollari, che si è basato anch'esso sulla manipolazione di flussi di lavoro legittimi anziché sullo sfruttamento di vulnerabilità del codice.
Proteggersi dalla sfuggente minaccia delle comete
L'implicazione più ampia è preoccupante: con la maturazione del settore blockchain, gli aggressori stanno spostando la loro attenzione dagli exploit tecnici alle vulnerabilità umane. La sicurezza operativa, ovvero la protezione dei processi e delle decisioni degli utenti, è diventata importante quanto la difesa dalle falle software.
In risposta, Trail of Bits ha adottato misure drastiche, disabilitando la funzionalità di controllo remoto di Zoom e bloccando i permessi di accesso che rendono possibili tali attacchi, senza interferire con il normale utilizzo delle videoconferenze. L'azienda esorta organizzazioni e individui del settore crypto a fare lo stesso, rivedendo le proprie impostazioni di Zoom e informando gli utenti sui pericoli di accettare ciecamente richieste di condivisione dello schermo e di controllo remoto.
Con milioni di dollari già persi e gli aggressori che continuano a perfezionare i loro metodi, il messaggio è chiaro: non considerate mai gli strumenti di videoconferenza come privi di rischi. Se fate trading, investite o lavorate nel settore delle criptovalute, pensateci due volte prima di accettare richieste di riunione inaspettate e non approvate mai una richiesta di controllo remoto senza la certezza assoluta della sua legittimità. La minaccia può sembrare una cosa normale, ma la posta in gioco non è mai stata così alta.