Severokórejskí hackeri využívajú funkciu Zoom na ukradnutie miliónov v kryptomene
Nová a znepokojujúca kampaň proti počítačovej kriminalite sa zameriava na obchodníkov s kryptomenami a investorov, pričom ako vektor útoku využíva známu platformu pre videokonferencie Zoom. Správy od neziskovej organizácie Security Alliance (SEAL) a kybernetickej bezpečnostnej firmy Trail of Bits odhalili prefíkanú operáciu organizovanú severokórejskými hackermi, ktorí sú známi svojimi neúnavnými útokmi na krypto sektor. Táto kampaň s názvom „Nepolapiteľná kométa“ odhaľuje, ako sofistikované sa stali hrozby sociálneho inžinierstva – a ako sa každodenné obchodné nástroje môžu stať zbraňami v nesprávnych rukách.
Obsah
Phishingová návnada, ktorá sa vydáva za obchodné príležitosti
Prístup útočníkov je presvedčivý aj rafinovaný. Títo hackeri, ktorí sa vydávajú za rizikových kapitalistov alebo hostiteľov podcastov, najprv oslovia niečo, čo sa javí ako legitímna obchodná ponuka. Obete sú často kontaktované prostredníctvom odkazov Calendly a pozývajú ich, aby si naplánovali stretnutie Zoom s cieľom prediskutovať údajnú investíciu alebo vzhľad podcastu. Počiatočná komunikácia je navrhnutá tak, aby sa javila skôr ako príležitosť než ako hrozba, čím sa znižuje obranyschopnosť cieľa a vytvára sa pocit naliehavosti odložením podrobností o stretnutí na poslednú chvíľu.
Keď sa obeť pripojí k plánovanému hovoru Zoom, útočníci urobia krok. Žiadajú, aby obeť zdieľala svoju obrazovku – bežná otázka v obchodných diskusiách. Potom však hackeri pomocou funkcie diaľkového ovládania Zoom požiadajú o kontrolu nad počítačom obete. Klamlivý zvrat robí túto požiadavku ešte nebezpečnejšou: útočníci zmenia zobrazovaný názov Zoom na „Zoom“, čím zamaskujú dialógové okno povolenia tak, aby vyzeralo ako štandardné, neškodné systémové upozornenie.
Jedným kliknutím dosiahnete úplný kompromis
Toto jediné kliknutie môže odovzdať plnú kontrolu nad myšou a klávesnicou obete. Útočníci rýchlo nasadia malvér infostealer alebo trójske kone so vzdialeným prístupom (RAT), ktoré v počítači vyhľadajú relácie prehliadača, uložené heslá, počiatočné frázy krypto peňaženky a ďalšie citlivé informácie. Záznamy SEAL pripisujú tejto taktike „milióny dolárov“ v ukradnutých finančných prostriedkoch, pričom poznamenávajú, že zločinci sa spoliehajú na sieť falošných profilov sociálnych médií a vyleštené webové stránky, aby dodali dôveryhodnosti ich lesti.
Trail of Bits sa stretol s útokom z prvej ruky. Generálny riaditeľ spoločnosti dostal správy z X (predtým Twitter) profilov, ktoré tvrdili, že sú producentmi Bloombergu, a tvrdo presadzovali rozhovor Zoom o kryptomene na poslednú chvíľu. Pri bližšom skúmaní odkazy na stretnutia Zoom viedli k spotrebiteľským účtom, nie k legitímnym firemným účtom. Útočníci neustále odmietali komunikovať cez e-mail a trvali na Zoom, kde by mohli spustiť svoj exploit.
Chybná funkcia sa zmenila na vektor útoku
Koreňom útoku je funkcia diaľkového ovládania Zoom, ktorá je navrhnutá pre spoluprácu, ale môže byť zneužitá, ak používatelia nie sú ostražití. Hoci hostitelia môžu túto funkciu zakázať na úrovni účtu, skupiny alebo používateľa, v podnikových nastaveniach je často predvolene ponechaná zapnutá. V dialógovom okne povolenia chýba rozlišovacia značka, ktorá by označovala požiadavku tretej strany, vďaka čomu môžu byť používatelia jednoducho oklamaní výzvou, ktorá vyzerá ako rutina.
Trail of Bits varuje, že tento typ útoku je obzvlášť účinný, pretože sa spolieha na ľudské správanie, nie na softvérové chyby. Mnoho profesionálov je zvyknutých rýchlo schvaľovať upozornenia zoomu a útočníci využívajú túto znalosť na to, aby obišli obranu aj skúsených používateľov. Spoločnosť kreslí priamu líniu z tejto kampane k nedávnym významným incidentom, ako je napríklad hacknutie Bybit v hodnote 1,5 miliardy dolárov, ktoré sa tiež spoliehalo na manipuláciu legitímnych pracovných postupov a nie na zneužívanie zraniteľností kódu.
Ochrana pred nepolapiteľnou hrozbou kométy
Širší dôsledok je znepokojujúci: ako blockchain priemysel dospieva, útočníci presúvajú svoje zameranie z technických exploitov na ľudské zraniteľnosti. Prevádzková bezpečnosť – ochrana procesov a rozhodnutí používateľov – sa stala rovnako dôležitou ako ochrana pred softvérovými chybami.
V reakcii na to spoločnosť Trail of Bits prijala prísne opatrenia, deaktivovala možnosť diaľkového ovládania aplikácie Zoom a zablokovala povolenia na prístupnosť, ktoré umožňujú takéto útoky, bez toho, aby zasahovali do bežného používania videokonferencií. Vyzývajú organizácie a jednotlivcov v krypto sektore, aby urobili to isté, skontrolovali svoje nastavenia Zoom a poučili používateľov o nebezpečenstvách slepého prijímania žiadostí o zdieľanie obrazovky a diaľkové ovládanie.
Keďže sa už stratili milióny a útočníci pokračujú v zdokonaľovaní svojich metód, posolstvo je jasné: nikdy nepovažujte nástroje pre videokonferencie za bezrizikové. Ak obchodujete, investujete alebo pracujete v kryptopriemysle, dobre si rozmyslite, či prijmete neočakávané žiadosti o stretnutie – a nikdy neschvaľujte výzvu na diaľkové ovládanie bez absolútnej istoty jej legitimity. Hrozba môže vyzerať ako obvykle, ale stávky nikdy neboli vyššie.