Noord-Koreaanse hackers misbruiken Zoom-functie om miljoenen aan cryptocurrency te stelen
Een nieuwe en verontrustende cybercrimecampagne richt zich op cryptohandelaren en -investeerders en gebruikt het bekende videoconferentieplatform Zoom als aanvalskanaal. Rapporten van de non-profitorganisatie Security Alliance (SEAL) en cybersecuritybedrijf Trail of Bits hebben een sluwe operatie blootgelegd, georkestreerd door Noord-Koreaanse hackers, bekend om hun meedogenloze aanvallen op de cryptosector. Deze campagne, genaamd "Elusive Comet", laat zien hoe geavanceerd social engineering-bedreigingen zijn geworden – en hoe alledaagse zakelijke tools wapens kunnen worden in de verkeerde handen.
Inhoudsopgave
Phishing-aas vermomd als zakelijke kansen
De aanpak van de aanvallers is zowel overtuigend als subtiel. Ze doen zich voor als durfkapitalisten of podcastpresentatoren en benaderen hen eerst met wat een legitiem zakelijk voorstel lijkt. Slachtoffers worden vaak benaderd via Calendly-links, met een uitnodiging om een Zoom-meeting te plannen om een vermeende investering of podcastoptreden te bespreken. De eerste communicatie is bedoeld om over te komen als een kans in plaats van een bedreiging, waardoor de verdediging van het doelwit wordt verzwakt en een gevoel van urgentie wordt gecreëerd door de details van de meeting tot het laatste moment uit te stellen.
Zodra het slachtoffer deelneemt aan het geplande Zoom-gesprek, slaan de aanvallers hun slag. Ze vragen het slachtoffer om zijn of haar scherm te delen – een standaardverzoek in zakelijke gesprekken. Maar vervolgens vragen de hackers, gebruikmakend van Zooms afstandsbedieningsfunctie, om controle over de computer van het slachtoffer. Een misleidende wending maakt dit verzoek nog gevaarlijker: de aanvallers veranderen hun Zoom-weergavenaam in "Zoom", waardoor het toestemmingsvenster eruitziet als een standaard, onschadelijke systeemmelding.
Eén klik naar een totaal compromis
Met één klik kan het slachtoffer de volledige controle over de muis en het toetsenbord overnemen. De aanvallers zetten snel infostealer-malware of remote access trojans (RAT's) in die de machine doorzoeken op browsersessies, opgeslagen wachtwoorden, seedphrases van cryptowallets en andere gevoelige informatie. De logs van SEAL schrijven "miljoenen dollars" aan gestolen geld toe aan deze tactieken en merken op dat de criminelen vertrouwen in een netwerk van nepprofielen op sociale media en gelikte websites om hun list geloofwaardig te maken.
Trail of Bits ondervond de aanval aan den lijve. De CEO van het bedrijf ontving berichten van X (voorheen Twitter) profielen die beweerden Bloomberg-producers te zijn en die druk uitoefenden op een last-minute Zoom-interview over cryptocurrency. Bij nadere inspectie leidden de Zoom-vergaderlinks naar accounts voor consumenten, niet naar legitieme bedrijfsaccounts. De aanvallers weigerden consequent te communiceren via e-mail en eisten Zoom, waar ze hun exploit konden lanceren.
Een gebrekkige eigenschap werd een aanvalsvector
De kern van de aanval is Zoom's Remote Control-functie, die is ontworpen voor samenwerking, maar kan worden misbruikt als gebruikers niet waakzaam zijn. Hoewel hosts deze functie kunnen uitschakelen op account-, groeps- of gebruikersniveau, staat deze in bedrijfsinstellingen vaak standaard aan. Het toestemmingsvenster mist een onderscheidend kenmerk om een verzoek van een derde partij aan te geven, waardoor gebruikers gemakkelijk kunnen worden misleid door een prompt die er routinematig uitziet.
Trail of Bits waarschuwt dat dit type aanval bijzonder effectief is omdat het gebaseerd is op menselijk gedrag, niet op softwarefouten. Veel professionals zijn gewend om snel Zoom-meldingen goed te keuren, en de aanvallers misbruiken deze vertrouwdheid om zelfs de verdediging van ervaren gebruikers te omzeilen. Het bedrijf trekt een directe lijn van deze campagne naar recente, spraakmakende incidenten, zoals de Bybit-hack van $ 1,5 miljard, die ook gebaseerd was op het manipuleren van legitieme workflows in plaats van het uitbuiten van kwetsbaarheden in de code.
Bescherming tegen de ongrijpbare komeetdreiging
De bredere implicatie is verontrustend: naarmate de blockchainindustrie volwassen wordt, verleggen aanvallers hun focus van technische exploits naar menselijke kwetsbaarheden. Operationele beveiliging – het beschermen van de processen en beslissingen van gebruikers – is net zo belangrijk geworden als de verdediging tegen softwarefouten.
Trail of Bits heeft als reactie hierop strenge maatregelen genomen door de afstandsbedieningsfunctie van Zoom uit te schakelen en de toegankelijkheidsrechten die dergelijke aanvallen mogelijk maken te blokkeren, zonder het normale gebruik van videoconferenties te verstoren. Ze dringen er bij organisaties en individuen in de cryptosector op aan hetzelfde te doen, hun Zoom-instellingen te herzien en gebruikers te informeren over de gevaren van het blindelings accepteren van verzoeken voor schermdeling en afstandsbediening.
Nu er al miljoenen verloren zijn gegaan en aanvallers hun methoden blijven verfijnen, is de boodschap duidelijk: beschouw videoconferentietools nooit als risicoloos. Als u handelt, investeert of actief bent in de crypto-industrie, denk dan twee keer na voordat u onverwachte vergaderverzoeken accepteert – en keur nooit een prompt voor bediening op afstand goed zonder absolute zekerheid over de legitimiteit ervan. De dreiging lijkt misschien op 'business as usual', maar de inzet is nog nooit zo hoog geweest.