Севернокорејски хакери користе функцију зумирања да украду милионе у криптовалути
Нова и узнемирујућа кампања сајбер криминала циља трговце криптовалутама и инвеститоре, користећи познату платформу за видео конференције Зоом као вектор напада. Извештаји непрофитне безбедносне алијансе (СЕАЛ) и компаније за сајбер безбедност Траил оф Битс разоткрили су лукаву операцију коју су оркестрирали севернокорејски хакери, познати по својим немилосрдним нападима на крипто сектор. Ова кампања, названа „Неухватљива комета“, открива колико су претње социјалног инжењеринга постале софистициране – и како свакодневни пословни алати могу постати оружје у погрешним рукама.
Преглед садржаја
Мамац за пхисхинг маскирање у пословне прилике
Приступ нападача је и убедљив и суптилан. Имитирајући се као ризични капиталисти или домаћини подкаста, ови хакери прво се обраћају са оним што се чини као легитиман пословни предлог. Жртве се често контактирају преко Цалендли линкова, позивајући их да закажу Зоом састанак како би разговарали о наводној инвестицији или појављивању подцаста. Почетна комуникација је дизајнирана да се појави као прилика, а не као претња, снижавајући одбрану мете и изграђујући осећај хитности одлагањем детаља састанка до последњег тренутка.
Када се жртва придружи заказаном Зоом позиву, нападачи крећу. Захтевају да жртва дели свој екран - уобичајено питање у пословним дискусијама. Али онда, користећи Зоом-ову функцију даљинског управљања, хакери траже контролу над рачунаром жртве. Обмањујући заокрет чини овај захтев још опаснијим: нападачи мењају своје име за приказ Зоом-а у „Зум“, прикривајући дијалог за дозволе да изгледа као стандардно, безопасно системско обавештење.
Један клик до потпуног компромиса
Овај један клик може предати потпуну контролу над мишем и тастатуром жртве. Нападачи брзо примењују злонамерни софтвер за крађу информација или тројанце за даљински приступ (РАТ) који претражују машину у потрази за сесијама претраживача, сачуваним лозинкама, фразама за почетак крипто новчаника и другим осетљивим информацијама. СЕАЛ-ови дневники приписују „милионе долара“ украдених средстава овој тактици, напомињући да се криминалци ослањају на мрежу лажних профила на друштвеним мрежама и углађених веб локација како би дали кредибилитет својој превари.
Траил оф Битс је из прве руке наишао на напад. Извршни директор компаније је примао поруке са Кс (бивши Твитер) профила у којима се тврдило да су Блоомберг произвођачи, снажно се залажући за Зум интервју о криптовалути у последњем тренутку. Након детаљнијег прегледа, везе за Зоом састанке довеле су до корисничких налога, а не до легитимних корпоративних. Нападачи су доследно одбијали да комуницирају путем е-поште, инсистирајући на Зоому, где би могли да покрену свој експлоат.
Погрешна карактеристика је претворена у вектор напада
Корен напада је Зоом-ова функција даљинског управљања, која је дизајнирана за колаборативни рад, али се може злоупотребити ако корисници нису опрезни. Иако домаћини могу да онемогуће ову функцију на нивоу налога, групе или корисника, она се често оставља подразумевано укључена у корпоративним подешавањима. Дијалогу за дозволе недостаје знак разликовања који би указао на захтев треће стране, што олакшава корисницима да буду преварени упитом који изгледа рутински.
Траил оф Битс упозорава да је овај тип напада посебно ефикасан јер се ослања на људско понашање, а не на софтверске грешке. Многи професионалци су навикли да брзо одобравају Зоом обавештења, а нападачи користе ову фамилијарност да заобиђу одбрану чак и искусних корисника. Компанија повлачи директну линију из ове кампање до недавних инцидената високог профила, попут хаковања Бибит вредног 1,5 милијарди долара, који се такође ослањао на манипулисање легитимним токовима посла уместо на искоришћавање рањивости кода.
Заштита од неухватљиве кометне претње
Шира импликација је забрињавајућа: како блокчејн индустрија сазрева, нападачи померају свој фокус са техничких експлоатација на људске рањивости. Оперативна безбедност — заштита процеса и одлука корисника — постала је једнако важна као и одбрана од софтверских недостатака.
Као одговор, Траил оф Битс је предузео снажне мере, онемогућавајући могућност даљинског управљања Зоом-а и блокирајући дозволе приступа које омогућавају такве нападе, без ометања нормалне употребе видео конференција. Они позивају организације и појединце у крипто сектору да ураде исто, прегледајући своја подешавања Зоом-а и образујући кориснике о опасностима слепог прихватања захтева за дељење екрана и даљинско управљање.
Пошто су милиони већ изгубљени и нападачи настављају да усавршавају своје методе, порука је јасна: никада не третирајте алате за видео конференције као безризичне. Ако тргујете, инвестирате или радите у крипто индустрији, размислите двапут пре него што прихватите неочекиване захтеве за састанке — и никада не одобравајте упит за даљинско управљање без апсолутне сигурности у његову легитимност. Претња може изгледати као и обично, али улози никада нису били већи.