北韓駭客利用 Zoom 功能竊取數百萬加密貨幣

一項新的、令人不安的網路犯罪活動正針對加密貨幣交易者和投資者，並使用熟悉的視訊會議平台 Zoom 作為攻擊媒介。非營利安全聯盟 (SEAL) 和網路安全公司 Trail of Bits 的報告揭露了北韓駭客精心策劃的一次狡猾行動，他們以對加密貨幣領域發動無情攻擊而聞名。這場被稱為「難以捉摸的彗星」的活動揭示了社會工程威脅變得多麼複雜，以及日常商業工具如何成為不法分子手中的武器。

偽裝成商業機會的網路釣魚誘餌

攻擊者的手段既令人信服又十分狡猾。這些駭客冒充創投家或播客主持人，首先提出看似合法的商業提案。攻擊者通常會透過 Calendly 連結聯繫受害者，邀請他們安排 Zoom 會議來討論所謂的投資或播客活動。初次溝通旨在呈現為一種機會而非威脅，透過將會議細節推遲到最後一刻來降低目標的防禦能力並建立一種緊迫感。

一旦受害者加入預定的 Zoom 通話，攻擊者就會採取行動。他們要求受害者共享他們的螢幕——這是商業討論中的常見要求。但隨後，駭客利用 Zoom 的遠端控制功能，要求控制受害者的電腦。欺騙性的轉折使這個請求更加危險：攻擊者將他們的 Zoom 顯示名稱更改為“Zoom”，將權限對話框偽裝成看起來像一個標準的、無害的系統通知。

一鍵徹底攻陷

只需單擊一下，即可完全控制受害者的滑鼠和鍵盤。攻擊者迅速部署資訊竊取惡意軟體或遠端存取木馬 (RAT)，在機器中搜尋瀏覽器會話、保存的密碼、加密錢包種子短語和其他敏感資訊。 SEAL 的日誌將「數百萬美元」的被盜資金歸咎於這些手段，並指出犯罪分子依靠虛假的社交媒體資料和精心設計的網站網絡來增強其詭計的可信度。

Trail of Bits 親身遭遇了這次攻擊。該公司執行長收到了來自 X（前身為 Twitter）個人資料的消息，這些消息自稱是彭博社製作人，極力要求在最後一刻進行有關加密貨幣的 Zoom 採訪。仔細檢查後發現，Zoom 會議連結指向的是消費者級帳戶，而不是合法的公司帳戶。攻擊者始終拒絕透過電子郵件溝通，堅持使用 Zoom，以便發動攻擊。

有缺陷的功能變成了攻擊向量

這次攻擊的根源在於 Zoom 的遠端控制功能，該功能旨在用於協同工作，但如果用戶不警惕，則可能被濫用。雖然主機可以在帳戶、群組或使用者層級停用此功能，但在公司設定中它通常預設為啟用。權限對話框缺乏任何可區分的標記來指示第三方請求，這使得使用者很容易被看似常規的提示所欺騙。

Trail of Bits 警告說，這種類型的攻擊特別有效，因為它依賴人類行為，而不是軟體錯誤。許多專業人士習慣於快速批准 Zoom 通知，攻擊者利用這種熟悉度來繞過即使是經驗豐富的用戶的防禦。該公司將這項活動與最近備受關注的事件直接聯繫起來，例如價值 15 億美元的 Bybit 駭客攻擊事件，該事件也依賴於操縱合法工作流程，而不是利用程式碼漏洞。

防範難以捉摸的彗星威脅

更廣泛的含義令人不安：隨著區塊鏈行業的成熟，攻擊者正在將注意力從技術漏洞轉移到人為漏洞。操作安全（保護使用者的流程和決策）已經變得與防禦軟體缺陷同等重要。

作為回應，Trail of Bits 採取了強有力的措施，禁用了 Zoom 的遠端控制功能，並阻止了導致此類攻擊的可訪問權限，但同時又不干擾正常的視訊會議使用。他們敦促加密領域的組織和個人也這樣做，檢查他們的 Zoom 設定並教育用戶盲目接受螢幕共享和遠端控制請求的危險。

鑑於數百萬美元的損失以及攻擊者不斷改進其攻擊方法，訊息很明確：永遠不要將視訊會議工具視為無風險的。如果您從事加密行業的貿易、投資或工作，在接受意外的會議請求之前請三思——並且在沒有絕對確定其合法性的情況下切勿批准遠端控制提示。這種威脅看起來似乎很正常，但風險卻從未如此之高。