Un grup de hackeri numit ‘Elusive Comet’ vizează utilizatorii de criptomonede în atacuri de inginerie socială care exploatează funcția de control la distanță a Zoom pentru a-i păcăli pe utilizatori să le acorde acces la mașinile lor.
Funcția de control la distanță a Zoom permite participanților la întâlnire să preia controlul computerului altui participant.
Potrivit firmei de securitate cibernetică Trail of Bits, care a întâlnit această campanie de inginerie socială, făptașii folosesc tehnici similare cu cele folosite de grupul de hackeri Lazarus în masivul jaf de criptomonede de 1,5 miliarde de dolari de la Bybit.
‘Metodologia ELUSIVE COMET reflectă tehnicile din spatele recentului jaf de 1,5 miliarde de dolari de la Bybit din februarie, unde atacatorii au manipulat fluxurile de lucru legitime în loc să exploateze vulnerabilități de cod,’ explică raportul Trail of Bits.
Trail of Bits a aflat de această nouă campanie după ce actorii de amenințare au încercat să efectueze atacul de inginerie socială asupra CEO-ului său prin mesaje directe pe X.
Atacul începe cu o invitație la un interviu ‘Bloomberg Crypto’ prin Zoom, trimisă unor ținte de înaltă valoare prin conturi de păpuși pe X sau prin e-mail (bloombergconferences[@]gmail.com).
Conturile false impersonalizează jurnaliști concentrați pe criptomonede sau outleturi Bloomberg și iau legătura cu țintele prin mesaje directe pe platformele de socializare.
Invitațiile sunt trimise prin link-uri Calendly pentru a programa o întâlnire Zoom. Deoarece atât linkurile Calendly, cât și invitațiile Zoom sunt autentice, acestea funcționează conform așteptărilor și reduc suspiciunile țintei.
În timpul apelului Zoom, atacatorul inițiază o sesiune de partajare a ecranului și trimite o cerere de control la distanță către țintă.
Trucul folosit în această etapă este că atacatorii își redenumește numele afișat în Zoom ca ‘Zoom’, astfel încât promptul pe care-l vede victima să spună ‘Zoom solicită controlul la distanță al ecranului dvs.’, făcându-l să pară o cerere legitimă din aplicație.
Cu toate acestea, aprobarea cererii le oferă atacatorilor control complet asupra sistemului victimei, permițându-le să fure date sensibile, să instaleze malware, să acceseze fișiere sau să inițieze tranzacții cu criptomonede.
Atacatorul poate acționa rapid pentru a stabili accesul persistent prin implantarea unei uși din spate furtunoase pentru o exploatare ulterioară și se deconectează, lăsând victimele cu puține șanse de a-și da seama de compromis.
‘Ceea ce face acest atac particular deosebit de periculos este similitudinea dialogului de permisiuni cu alte notificări inofensive de la Zoom,’ spune Trail of Bits.
‘Utilizatorii obișnuiți să facă clic pe ‘Aprobare’ în mesajele Zoom pot acorda control complet al computerului lor fără a realiza implicațiile.’
Pentru a se apăra împotriva acestei amenințări, Trail of Bits sugerează implementarea de profiluri de Control al Politicii Preferințelor de Confidențialitate (PPPC) la nivel de sistem care să prevină accesul la accesibilitate, ceea ce este posibil utilizând această colecție de instrumente.
Firma recomandă eliminarea completă a Zoom de pe toate sistemele pentru medii critice din punct de vedere al securității și organizații care gestionează active digitale valoroase.
‘Pentru organizațiile care gestionează date sau tranzacții cu criptomonede deosebit de sensibile, reducerea riscului prin eliminarea completă a clientului Zoom depășește adesea inconveniența minoră de a folosi alternative bazate pe browser,’ explică Trail of Bits.
Leave a Reply