Nordkoreanska hackare utnyttjar zoomfunktionen för att stjäla miljoner i kryptovaluta
En ny och oroande cyberbrottskampanj riktar sig till handlare och investerare i kryptovaluta, med hjälp av den välbekanta videokonferensplattformen Zoom som en attackvektor. Rapporter från den ideella Security Alliance (SEAL) och cybersäkerhetsföretaget Trail of Bits har avslöjat en listig operation orkestrerad av nordkoreanska hackare, kända för sina obevekliga attacker mot kryptosektorn. Den här kampanjen, kallad "Elusive Comet", avslöjar hur sofistikerade hot inom social ingenjörskonst har blivit – och hur vardagliga affärsverktyg kan bli vapen i fel händer.
Innehållsförteckning
Phishing Bait Maskerad som affärsmöjligheter
Angriparnas tillvägagångssätt är både övertygande och subtilt. Dessa hackare utger sig för att vara riskkapitalister eller podcastvärdar och når först ut med vad som verkar vara ett legitimt affärsförslag. Offren kontaktas ofta via Calendly-länkar och bjuder in dem att schemalägga ett Zoom-möte för att diskutera en förmodad investering eller podcastframträdande. Den första kommunikationen är utformad för att framstå som en möjlighet snarare än ett hot, sänka målets försvar och bygga upp en känsla av brådska genom att fördröja mötesdetaljer till sista minuten.
När offret ansluter sig till det schemalagda Zoom-samtalet gör angriparna sitt drag. De ber offret att dela sin skärm – en vanlig fråga i affärsdiskussioner. Men sedan, med hjälp av Zooms fjärrkontrollfunktion, ber hackarna om kontroll över offrets dator. En bedräglig vändning gör denna begäran ännu farligare: angriparna ändrar sitt Zoom-visningsnamn till "Zoom", och döljer tillståndsdialogrutan för att se ut som en standard, ofarlig systemavisering.
Ett klick för att kompromissa totalt
Detta enda klick kan ge full kontroll över offrets mus och tangentbord. Angriparna distribuerar snabbt infostealer skadlig kod eller fjärråtkomsttrojaner (RAT) som söker igenom maskinen efter webbläsarsessioner, sparade lösenord, fröfraser för kryptoplånbok och annan känslig information. SEALs loggar tillskriver "miljoner dollar" i stulna pengar till dessa taktiker, och noterar att brottslingarna förlitar sig på ett nätverk av falska sociala medieprofiler och polerade webbplatser för att ge trovärdighet åt deras list.
Trail of Bits stötte på attacken i första hand. Företagets VD fick meddelanden från X (tidigare Twitter) profiler som påstod sig vara Bloomberg-producenter, och pressade hårt på en Zoom-intervju i sista minuten om kryptovaluta. Vid närmare granskning ledde Zoom-möteslänkarna till konton av konsumentklass, inte legitima företagskonton. Angriparna vägrade konsekvent att kommunicera via e-post och insisterade på Zoom, där de kunde lansera sitt utnyttjande.
En felaktig funktion blev attackvektor
Roten till attacken är Zooms fjärrkontrollfunktion, som är designad för samarbete men kan missbrukas om användarna inte är vaksamma. Även om värdar kan inaktivera den här funktionen på konto-, grupp- eller användarnivå, lämnas den ofta på som standard i företagsinställningar. Tillståndsdialogrutan saknar något särskiljande märke för att indikera en begäran från tredje part, vilket gör det lätt för användare att luras av en prompt som ser rutinmässig ut.
Trail of Bits varnar för att denna typ av attack är särskilt effektiv eftersom den förlitar sig på mänskligt beteende, inte programvarubuggar. Många proffs är vana vid att snabbt godkänna Zoom-aviseringar, och angriparna utnyttjar denna förtrogenhet för att kringgå även erfarna användares försvar. Företaget drar en direkt linje från denna kampanj till nyligen uppmärksammade incidenter, såsom Bybit-hacket på 1,5 miljarder dollar, som också förlitade sig på att manipulera legitima arbetsflöden snarare än att utnyttja kodsårbarheter.
Skydda mot det svårfångade komethotet
Den bredare innebörden är oroande: när blockchain-industrin mognar flyttar angripare fokus från tekniska utnyttjande till mänskliga sårbarheter. Operativ säkerhet – att skydda användarnas processer och beslut – har blivit lika viktigt som att försvara sig mot mjukvarubrister.
Som svar har Trail of Bits vidtagit kraftfulla åtgärder, inaktiverat Zooms fjärrkontrollfunktion och blockerat tillgänglighetsbehörigheterna som gör sådana attacker möjliga, utan att störa normal användning av videokonferenser. De uppmanar organisationer och individer inom kryptosektorn att göra detsamma, se över sina Zoom-inställningar och utbilda användare om farorna med att blint acceptera förfrågningar om skärmdelning och fjärrkontroll.
Med miljoner som redan förlorats och angripare fortsätter att förfina sina metoder är budskapet tydligt: behandla aldrig videokonferensverktyg som riskfritt. Om du handlar, investerar eller arbetar i kryptoindustrin, tänk efter två gånger innan du accepterar oväntade mötesförfrågningar – och godkänn aldrig en fjärrkontrollprompt utan absolut säkerhet om dess legitimitet. Hotet kan se ut som business as usual, men insatserna har aldrig varit högre.