朝鲜黑客利用 Zoom 功能窃取数百万加密货币

一场令人不安的新型网络犯罪活动正以加密货币交易者和投资者为目标，其攻击手段是人们熟悉的视频会议平台 Zoom。非营利组织安全联盟 (SEAL) 和网络安全公司 Trail of Bits 的报告揭露了朝鲜黑客精心策划的一项狡猾行动，这些黑客以对加密货币行业的持续攻击而闻名。这场名为“Elusive Comet”的攻击活动揭示了社会工程威胁的复杂性，以及日常商业工具如何落入不法之徒之手，沦为武器。

伪装成商业机会的网络钓鱼诱饵

攻击者的手段既令人信服又巧妙。这些黑客会冒充风险投资家或播客主持人，首先向受害者发出看似合法的商业提议。他们通常会通过 Calendly 链接联系受害者，邀请他们安排 Zoom 会议，讨论所谓的投资或播客活动。最初的沟通旨在展现为机会而非威胁，从而降低目标的防御能力，并通过将会议细节拖到最后一刻来营造紧迫感。

一旦受害者加入预定的 Zoom 会议，攻击者便会采取行动。他们要求受害者共享屏幕——这在商务讨论中很常见。但随后，黑客利用 Zoom 的远程控制功能，请求控制受害者的电脑。一个欺骗性的伎俩让这个请求更加危险：攻击者将他们的 Zoom 显示名称更改为“Zoom”，将权限对话框伪装成一个标准的、无害的系统通知。

一键彻底攻陷

只需轻轻一点，即可完全控制受害者的鼠标和键盘。攻击者会迅速部署信息窃取恶意软件或远程访问木马 (RAT)，在目标机器上搜索浏览器会话、已保存的密码、加密钱包助记词和其他敏感信息。SEAL 的日志将“数百万美元”的被盗资金归咎于这些手段，并指出犯罪分子依靠虚假社交媒体资料和精心设计的网站网络来增强其骗局的可信度。

Trail of Bits 亲身遭遇了此次攻击。该公司首席执行官收到了来自 X（前身为 Twitter）账户的消息，这些账户自称是彭博社的制作人，极力要求在最后一刻进行一次关于加密货币的 Zoom 采访。仔细检查后发现，Zoom 会议链接指向的是消费者级账户，而非合法的企业账户。攻击者始终拒绝通过电子邮件沟通，坚持使用 Zoom，以便发动攻击。

有缺陷的功能变成了攻击向量

此次攻击的根源在于 Zoom 的远程控制功能，该功能旨在实现协作工作，但如果用户不警惕，则可能被滥用。虽然主持人可以在账户、群组或用户级别禁用此功能，但在企业设置中，该功能通常默认启用。权限对话框缺乏任何可识别第三方请求的标记，用户很容易被看似常规的提示所欺骗。

Trail of Bits 警告称，此类攻击尤其有效，因为它依赖于人类行为，而非软件漏洞。许多专业人士习惯于快速批准 Zoom 通知，攻击者利用这种熟悉度绕过了即使是经验丰富的用户的防御措施。该公司将此次攻击与最近一些备受瞩目的事件联系起来，例如价值 15 亿美元的 Bybit 黑客攻击事件，这些事件也依赖于操纵合法工作流程，而非利用代码漏洞。

防范难以捉摸的彗星威胁

更广泛的影响令人担忧：随着区块链行业的成熟，攻击者正将注意力从技术漏洞转向人为漏洞。运营安全——保护用户的流程和决策——已变得与防御软件漏洞同等重要。

作为回应，Trail of Bits 采取了强有力的措施，禁用了 Zoom 的远程控制功能，并阻止了允许此类攻击的访问权限，但并未干扰正常的视频会议使用。他们敦促加密货币领域的组织和个人也采取同样的措施，检查他们的 Zoom 设置，并教育用户盲目接受屏幕共享和远程控制请求的危险。

鉴于数百万美元的损失以及攻击者不断改进其攻击手段，我们传递的信息非常明确：切勿将视频会议工具视为无风险。如果您从事加密货币行业的交易、投资或工作，请在接受意外的会议请求前三思而后行——并且在无法完全确定其合法性之前，切勿批准远程控制请求。这种威胁看似司空见惯，但风险却从未如此高昂。