Північнокорейські хакери використовують функцію Zoom для крадіжки мільйонів у криптовалюті
Нова та тривожна кампанія кіберзлочинності спрямована на трейдерів та інвесторів криптовалюти, використовуючи знайому платформу для відеоконференцій Zoom як вектор атаки. Звіти некомерційної організації Security Alliance (SEAL) і фірми з кібербезпеки Trail of Bits викрили хитру операцію, організовану північнокорейськими хакерами, відомими своїми невпинними атаками на криптосектор. Ця кампанія під назвою «Невловима комета» показує, наскільки складними стали загрози соціальної інженерії та як повсякденні бізнес-інструменти можуть стати зброєю в чужих руках.
Зміст
Приманка для фішингу під виглядом можливостей для бізнесу
Підхід нападників одночасно переконливий і непомітний. Видаючи себе за венчурних капіталістів або розпорядників подкастів, ці хакери спочатку звертаються з тим, що виглядає як законна бізнес-пропозиція. З жертвами часто зв’язуються через посилання на Calendly, запрошуючи їх призначити зустріч у Zoom, щоб обговорити ймовірні інвестиції чи появу подкастів. Початкове спілкування створено таким чином, щоб виглядати як можливість, а не як загроза, знижуючи захист цілі та створюючи відчуття терміновості, відкладаючи деталі зустрічі до останньої хвилини.
Як тільки жертва приєднується до запланованого виклику Zoom, зловмисники роблять свій хід. Вони просять жертву поділитися їхнім екраном — звичайне запитання під час ділових дискусій. Але потім, використовуючи функцію дистанційного керування Zoom, хакери запитують контроль над комп’ютером жертви. Оманливий поворот робить цей запит ще небезпечнішим: зловмисники змінюють своє відображуване ім’я Zoom на «Zoom», маскуючи діалогове вікно дозволу, щоб воно виглядало як стандартне нешкідливе системне сповіщення.
Один клік для повного компромісу
Це одне натискання може передати повний контроль над мишею та клавіатурою жертви. Зловмисники швидко розгортають зловмисне програмне забезпечення infostealer або трояни віддаленого доступу (RAT), які шукають на машині сеанси браузера, збережені паролі, початкові фрази крипто-гаманця та іншу конфіденційну інформацію. Журнали SEAL приписують цій тактиці «мільйони доларів» у викрадених коштах, зазначаючи, що злочинці покладаються на мережу фальшивих профілів у соціальних мережах і відшліфованих веб-сайтів, щоб надати довіри своїм хитрощам.
Trail of Bits зіткнувся з атакою безпосередньо. Генеральний директор фірми отримав повідомлення від профілів X (раніше Twitter), які стверджували, що вони виробники Bloomberg, наполягаючи на останньому інтерв’ю Zoom про криптовалюту. При ближчому розгляді посилання на зустріч у Zoom вели до споживчих облікових записів, а не до корпоративних. Зловмисники постійно відмовлялися спілкуватися електронною поштою, наполягаючи на Zoom, де вони могли запустити свій експлойт.
Порушена функція перетворилася на вектор атаки
Корінь атаки — функція дистанційного керування Zoom, яка розроблена для спільної роботи, але може бути зловживана, якщо користувачі не будуть пильними. Хоча хости можуть вимкнути цю функцію на рівні облікового запису, групи або користувача, її часто залишають увімкненою за замовчуванням у корпоративних налаштуваннях. У діалоговому вікні дозволу відсутні будь-які розпізнавальні знаки, які б вказували на запит третьої сторони, що дозволяє користувачам легко обдурити підказку, яка виглядає звично.
Trail of Bits попереджає, що цей тип атаки особливо ефективний, оскільки він покладається на поведінку людини, а не на помилки програмного забезпечення. Багато професіоналів звикли швидко затверджувати сповіщення Zoom, і зловмисники використовують цю звичку, щоб обійти захист навіть досвідчених користувачів. Фірма проводить пряму зв’язок від цієї кампанії з недавніми резонансними інцидентами, такими як злам Bybit вартістю 1,5 мільярда доларів, який також покладався на маніпулювання законними робочими процесами, а не на використання вразливостей коду.
Захист від невловимої кометної загрози
Більш широке значення викликає занепокоєння: у міру розвитку індустрії блокчейнів зловмисники зміщують свою увагу з технічних експлойтів на вразливі місця людини. Операційна безпека — захист процесів і рішень користувачів — стала такою ж важливою, як захист від недоліків програмного забезпечення.
У відповідь Trail of Bits вжила рішучих заходів, вимкнувши можливість дистанційного керування Zoom і заблокувавши дозволи доступності, які роблять такі атаки можливими, не перешкоджаючи нормальному використанню відеоконференцій. Вони закликають організації та окремих осіб у криптографічному секторі зробити те ж саме, переглядаючи свої налаштування Zoom та навчаючи користувачів про небезпеку сліпого прийняття запитів на спільне використання екрана та дистанційне керування.
Оскільки мільйони вже втрачено, а зловмисники продовжують удосконалювати свої методи, повідомлення чітке: ніколи не розглядайте інструменти відеоконференцій як безризикові. Якщо ви торгуєте, інвестуєте або працюєте в криптоіндустрії, подумайте двічі, перш ніж приймати несподівані запрошення на зустріч, і ніколи не погоджуйте підказку від дистанційного керування, не маючи абсолютної впевненості в її законності. Загроза може виглядати як завжди, але ставки ніколи не були вищими.