Nordkoreanske hackere utnytter zoomfunksjonen for å stjele millioner i kryptovaluta
En ny og urovekkende nettkriminalitetskampanje er rettet mot tradere og investorer av kryptovaluta, ved å bruke den kjente videokonferanseplattformen Zoom som angrepsvektor. Rapporter fra den ideelle organisasjonen Security Alliance (SEAL) og cybersikkerhetsfirmaet Trail of Bits har avslørt en snedig operasjon orkestrert av nordkoreanske hackere, kjent for sine nådeløse angrep på kryptosektoren. Denne kampanjen, kalt «Elusive Comet», avslører hvor sofistikerte sosiale ingeniørtrusler har blitt – og hvordan hverdagslige forretningsverktøy kan bli våpen i feil hender.
Innholdsfortegnelse
Phishing agn maskert som forretningsmuligheter
Angripernes tilnærming er både overbevisende og subtil. Disse hackerne utgir seg for å utgi seg for risikokapitalister eller podcast-verter, og når først ut med det som ser ut til å være et legitimt forretningsforslag. Ofre blir ofte kontaktet via Calendly-lenker, og inviterer dem til å planlegge et Zoom-møte for å diskutere en antatt investering eller podcast-opptreden. Den første kommunikasjonen er designet for å fremstå som en mulighet snarere enn en trussel, senke målets forsvar og bygge en følelse av at det haster ved å utsette møtedetaljene til siste minutt.
Når offeret blir med på den planlagte Zoom-samtalen, gjør angriperne sitt trekk. De ber om at offeret deler skjermen sin – en vanlig spørring i forretningsdiskusjoner. Men så, ved å utnytte Zooms fjernkontrollfunksjon, ber hackerne om kontroll over offerets datamaskin. En villedende vri gjør denne forespørselen enda farligere: angriperne endrer Zoom-visningsnavnet sitt til «Zoom», og skjuler tillatelsesdialogen slik at den ser ut som en standard, harmløs systemvarsling.
Ett klikk for totalt kompromiss
Dette enkeltklikket kan gi full kontroll over offerets mus og tastatur. Angriperne distribuerer raskt infostealer-malware eller fjerntilgangstrojanere (RAT-er) som søker på maskinen etter nettleserøkter, lagrede passord, frøsetninger for kryptolommebok og annen sensitiv informasjon. SEALs logger tilskriver "millioner av dollar" i stjålne midler til disse taktikkene, og bemerker at de kriminelle er avhengige av et nettverk av falske sosiale medieprofiler og polerte nettsteder for å gi troverdighet til deres list.
Trail of Bits møtte angrepet førstehånds. Firmaets administrerende direktør mottok meldinger fra X (tidligere Twitter) profiler som hevdet å være Bloomberg-produsenter, og presset hardt på for et Zoom-intervju i siste øyeblikk om kryptovaluta. Ved nærmere ettersyn førte Zoom-møtekoblingene til forbrukerkontoer, ikke legitime bedriftskontoer. Angriperne nektet konsekvent å kommunisere over e-post, og insisterte på Zoom, hvor de kunne lansere deres utnyttelse.
En mangelfull funksjon ble angrepsvektor
Roten til angrepet er Zooms fjernkontrollfunksjon, som er designet for samarbeid, men som kan misbrukes hvis brukerne ikke er på vakt. Selv om verter kan deaktivere denne funksjonen på konto-, gruppe- eller brukernivå, står den ofte på som standard i bedriftsinnstillinger. Tillatelsesdialogen mangler noe kjennetegn for å indikere en tredjepartsforespørsel, noe som gjør det enkelt for brukere å bli lurt av en forespørsel som ser rutinemessig ut.
Trail of Bits advarer om at denne typen angrep er spesielt effektiv fordi den er avhengig av menneskelig atferd, ikke programvarefeil. Mange fagfolk er vant til raskt å godkjenne Zoom-varsler, og angriperne utnytter denne kjennskapen til å omgå selv erfarne brukeres forsvar. Firmaet trekker en direkte linje fra denne kampanjen til nylige høyprofilerte hendelser, for eksempel Bybit-hakket på 1,5 milliarder dollar, som også var avhengig av å manipulere legitime arbeidsflyter i stedet for å utnytte kodesårbarheter.
Beskyttelse mot den unnvikende komet-trusselen
Den bredere implikasjonen er urovekkende: ettersom blokkjedeindustrien modnes, flytter angripere fokus fra tekniske utnyttelser til menneskelige sårbarheter. Driftssikkerhet – beskyttelse av prosesser og beslutninger til brukere – har blitt like viktig som å forsvare seg mot programvarefeil.
Som svar har Trail of Bits tatt sterke tiltak, deaktivert Zooms fjernkontrollfunksjon og blokkert tilgangstillatelsene som gjør slike angrep mulig, uten å forstyrre normal bruk av videokonferanser. De oppfordrer organisasjoner og enkeltpersoner i kryptosektoren til å gjøre det samme, gjennomgå Zoom-innstillingene og opplyse brukere om farene ved blindt å akseptere forespørsler om skjermdeling og fjernkontroll.
Med millioner som allerede er tapt og angripere som fortsetter å avgrense metodene sine, er budskapet klart: aldri behandle videokonferanseverktøy som risikofrie. Hvis du handler, investerer eller jobber i kryptoindustrien, må du tenke deg om to ganger før du godtar uventede møteforespørsler – og aldri godkjenne en fjernkontrollmelding uten absolutt sikkerhet om dens legitimitet. Trusselen kan se ut som business as usual, men innsatsen har aldri vært høyere.