Северокорейские хакеры используют функцию Zoom, чтобы украсть миллионы в криптовалюте
Новая и тревожная кампания киберпреступности нацелена на трейдеров и инвесторов криптовалюты, используя знакомую платформу видеоконференций Zoom в качестве вектора атаки. Отчеты некоммерческой организации Security Alliance (SEAL) и компании по кибербезопасности Trail of Bits раскрыли коварную операцию, организованную северокорейскими хакерами, известными своими беспощадными атаками на сектор криптовалют. Эта кампания, получившая название «Неуловимая комета», показывает, насколько изощренными стали угрозы социальной инженерии и как повседневные бизнес-инструменты могут стать оружием в неправильных руках.
Оглавление
Фишинговая приманка, маскирующаяся под бизнес-возможности
Подход злоумышленников одновременно убедителен и тонок. Выдавая себя за венчурных капиталистов или ведущих подкастов, эти хакеры сначала выходят на связь с тем, что кажется законным деловым предложением. С жертвами часто связываются через ссылки Calendly, приглашая их запланировать встречу Zoom для обсуждения предполагаемых инвестиций или появления в подкасте. Первоначальное сообщение призвано выглядеть как возможность, а не угроза, снижая защиту цели и создавая ощущение срочности, откладывая детали встречи до последней минуты.
Как только жертва присоединяется к запланированному звонку Zoom, злоумышленники делают свой ход. Они просят жертву поделиться своим экраном — обычная просьба в деловых обсуждениях. Но затем, используя функцию удаленного управления Zoom, хакеры просят контроль над компьютером жертвы. Обманный поворот делает этот запрос еще более опасным: злоумышленники меняют свое отображаемое имя Zoom на «Zoom», маскируя диалоговое окно разрешения, чтобы оно выглядело как стандартное, безобидное системное уведомление.
Один клик для полного компромисса
Этот один щелчок может передать полный контроль над мышью и клавиатурой жертвы. Злоумышленники быстро развертывают вредоносное ПО для кражи информации или трояны удаленного доступа (RAT), которые ищут на машине сеансы браузера, сохраненные пароли, фразы-семя криптокошелька и другую конфиденциальную информацию. Журналы SEAL приписывают «миллионы долларов» украденных средств этой тактике, отмечая, что преступники полагаются на сеть поддельных профилей в социальных сетях и отполированные веб-сайты, чтобы придать убедительность своей уловке.
Trail of Bits столкнулся с атакой лично. Генеральный директор фирмы получал сообщения от профилей X (ранее Twitter), которые выдавали себя за продюсеров Bloomberg, настойчиво добиваясь интервью в Zoom о криптовалюте в последнюю минуту. При более внимательном рассмотрении ссылки на встречи в Zoom вели на учетные записи потребительского уровня, а не на легитимные корпоративные. Злоумышленники постоянно отказывались общаться по электронной почте, настаивая на Zoom, где они могли запустить свой эксплойт.
Ошибочная функция стала вектором атаки
Корень атаки — функция удаленного управления Zoom, которая предназначена для совместной работы, но может быть использована не по назначению, если пользователи не бдительны. Хотя хостеры могут отключить эту функцию на уровне учетной записи, группы или пользователя, она часто остается включенной по умолчанию в корпоративных настройках. В диалоговом окне разрешений отсутствует какой-либо отличительный знак, указывающий на сторонний запрос, что позволяет пользователям легко обмануться с помощью подсказки, которая выглядит обыденной.
Trail of Bits предупреждает, что этот тип атак особенно эффективен, поскольку он опирается на человеческое поведение, а не на ошибки программного обеспечения. Многие профессионалы привыкли быстро одобрять уведомления Zoom, и злоумышленники используют эту привычность, чтобы обойти защиту даже опытных пользователей. Фирма проводит прямую связь между этой кампанией и недавними громкими инцидентами, такими как взлом Bybit на 1,5 миллиарда долларов, который также опирался на манипулирование законными рабочими процессами, а не на использование уязвимостей кода.
Защита от неуловимой угрозы кометы
Более широкое последствие вызывает беспокойство: по мере развития индустрии блокчейна злоумышленники переключают свое внимание с технических эксплойтов на уязвимости человека. Операционная безопасность — защита процессов и решений пользователей — стала столь же важной, как и защита от программных недостатков.
В ответ Trail of Bits предприняла жесткие меры, отключив возможность удаленного управления Zoom и заблокировав разрешения на доступ, которые делают такие атаки возможными, не мешая нормальному использованию видеоконференций. Они призывают организации и отдельных лиц в крипто-секторе сделать то же самое, пересмотреть настройки Zoom и информировать пользователей об опасностях слепого принятия запросов на совместное использование экрана и удаленного управления.
С миллионами уже потерянных денег и продолжающимися усовершенствованиями методов злоумышленников, послание ясно: никогда не относитесь к инструментам видеоконференций как к безрисковым. Если вы торгуете, инвестируете или работаете в криптоиндустрии, дважды подумайте, прежде чем принимать неожиданные запросы на встречи, и никогда не одобряйте запрос на удаленное управление без абсолютной уверенности в его легитимности. Угроза может выглядеть как обычное дело, но ставки никогда не были выше.