Hackerii nord-coreeni exploatează funcția Zoom pentru a fura milioane de criptomonede
O nouă și tulburătoare campanie de criminalitate cibernetică vizează comercianții și investitorii de criptomonede, folosind platforma familiară de videoconferințe Zoom ca vector de atac. Rapoartele Alianței de Securitate (SEAL) nonprofit și ale firmei de securitate cibernetică Trail of Bits au dezvăluit o operațiune vicleană orchestrată de hackerii nord-coreeni, cunoscuți pentru atacurile lor necruțătoare asupra sectorului cripto. Această campanie, numită „Elusive Comet”, dezvăluie cât de sofisticate au devenit amenințările de inginerie socială și cum instrumentele de afaceri de zi cu zi pot deveni arme în mâini greșite.
Cuprins
Momeală de phishing mascată ca oportunități de afaceri
Abordarea atacatorilor este atât convingătoare, cât și subtilă. Imbracându-se pe capitaliștii de risc sau gazdele de podcast, acești hackeri ajung mai întâi cu ceea ce pare a fi o propunere de afaceri legitimă. Victimele sunt adesea contactate prin link-urile Calendly, invitându-le să programeze o întâlnire Zoom pentru a discuta despre o presupusă investiție sau apariție podcast. Comunicarea inițială este concepută să apară mai degrabă ca o oportunitate decât o amenințare, scăzând apărarea țintei și creând un sentiment de urgență prin amânarea detaliilor întâlnirii până în ultimul minut.
Odată ce victima se alătură apelului Zoom programat, atacatorii fac mișcarea lor. Ei solicită ca victima să-și împărtășească ecranul - o întrebare obișnuită în discuțiile de afaceri. Dar apoi, folosind funcția de control de la distanță a Zoom, hackerii cer controlul computerului victimei. O întorsătură înșelătoare face această solicitare și mai periculoasă: atacatorii își schimbă numele afișat Zoom în „Zoom”, maschând dialogul de permisiune pentru a arăta ca o notificare standard, inofensivă de sistem.
Un clic pentru un compromis total
Acest singur clic poate oferi controlul deplin al mouse-ului și tastaturii victimei. Atacatorii implementează rapid malware infostealer sau troieni de acces la distanță (RAT) care caută în mașină sesiuni de browser, parole salvate, fraze de generare a portofelului criptografic și alte informații sensibile. Jurnalele SEAL atribuie „milioane de dolari” în fonduri furate acestor tactici, menționând că infractorii se bazează pe o rețea de profiluri de rețele sociale false și site-uri web rafinate pentru a da credibilitate șiretlicului lor.
Trail of Bits a întâlnit atacul direct. CEO-ul companiei a primit mesaje de la profiluri X (fostă Twitter) care pretindeau că sunt producători Bloomberg, făcând eforturi pentru un interviu Zoom de ultimă oră despre criptomonede. La o inspecție mai atentă, legăturile întâlnirii Zoom au condus la conturi de calitate pentru consumatori, nu la cele corporative legitime. Atacatorii au refuzat în mod constant să comunice prin e-mail, insistând asupra Zoom, unde își puteau lansa exploit.
O caracteristică defectuoasă transformată în vector de atac
Rădăcina atacului este caracteristica de control de la distanță a Zoom, care este concepută pentru lucru în colaborare, dar poate fi abuzată dacă utilizatorii nu sunt vigilenți. Deși gazdele pot dezactiva această funcție la nivel de cont, grup sau utilizator, este adesea lăsată activă implicit în setările companiei. Dialogul de permisiune nu are niciun semn distinctiv care să indice o solicitare terță parte, ceea ce face mai ușor ca utilizatorii să fie păcăliți de o solicitare care pare de rutină.
Trail of Bits avertizează că acest tip de atac este deosebit de eficient deoarece se bazează pe comportamentul uman, nu pe erori software. Mulți profesioniști sunt obișnuiți să aprobe rapid notificările Zoom, iar atacatorii exploatează această familiaritate pentru a ocoli chiar și apărarea utilizatorilor experimentați. Firma trasează o linie directă de la această campanie la incidente recente de mare profil, cum ar fi hack-ul Bybit de 1,5 miliarde de dolari, care s-a bazat, de asemenea, pe manipularea fluxurilor de lucru legitime, mai degrabă decât pe exploatarea vulnerabilităților codului.
Protejarea împotriva amenințării evazive a cometei
Implicația mai largă este îngrijorătoare: pe măsură ce industria blockchain se maturizează, atacatorii își schimbă atenția de la exploatările tehnice la vulnerabilitățile umane. Securitatea operațională - protejarea proceselor și a deciziilor utilizatorilor - a devenit la fel de importantă ca și apărarea împotriva defectelor software.
Ca răspuns, Trail of Bits a luat măsuri puternice, dezactivând capacitatea de control de la distanță a Zoom și blocând permisiunile de accesibilitate care fac posibile astfel de atacuri, fără a interfera cu utilizarea normală a videoconferințelor. Ei îndeamnă organizațiile și persoanele din sectorul cripto să facă același lucru, revizuindu-și setările Zoom și educând utilizatorii despre pericolele acceptării orbește de partajare a ecranului și solicitări de control de la distanță.
Cu milioanele deja pierdute și atacatorii continuă să-și perfecționeze metodele, mesajul este clar: niciodată nu tratați instrumentele de videoconferință ca fără riscuri. Dacă tranzacționați, investiți sau lucrați în industria cripto, gândiți-vă de două ori înainte de a accepta solicitări neașteptate de întâlnire și nu aprobați niciodată o solicitare de control de la distanță fără o certitudine absolută a legitimității sale. Amenințarea poate părea ca de obicei, dar mizele nu au fost niciodată mai mari.