Севернокорейски киберпрестъпници са усъвършенствали тактиките си за атаки срещу инвеститори и търговци на криптовалути, като злоупотребяват с малко известна функция на Zoom – Remote Control (дистанционно управление). Целта им е да инсталират зловреден софтуер (infostealer или RAT), който дава достъп до чувствителни данни, включително пароли, seed-фрази и цифрови активи. Според изследвания на Security Alliance (SEAL) и Trail of Bits, този метод е вече отговорен за загуби в милиони долари.

Методология на атаката

Кампанията, наречена Elusive Comet, започва с фишинг съобщения, изпращани през социални мрежи или имейли. Хакерите се представят за представители на фалшива инвестиционна фирма – Aureon Capital – и канят жертвите да участват в измислен подкаст или бизнес-среща.

1. Примамка за участие

   • Жертвата получава покана за среща чрез Calendly или директно съобщение.

   • Хакерите създават изглеждащи легитимни профили в социалните мрежи и уебсайтове, за да изградят доверие.

2. Злоупотреба със Zoom

   • Срещата се провежда в Zoom, като нарочно се забавя предоставянето на детайли, за да се създаде чувство за спешност.

   • По време на разговора, жертвата е помолена да сподели екрана си.

   • Хакерите използват функцията Remote Control, като преименуват името си на „Zoom“, за да прикрият диалоговия прозорец за разрешение и да го направят приличащ на стандартно системно известие.

3. Инсталиране на зловреден софтуер

   • Ако жертвата кликне „Approve“, хакерите получават пълен контрол върху устройството.

   • След това се инсталира malware, който:

     • Краде данни от браузъри, портфейли и пароли.

     • Дава траен достъп чрез Remote Access Trojan (RAT).

Защо този метод е ефективен?

1. Злоупотреба с доверие към Zoom

   • Потребителите са свикнали да одобряват известия от платформи като Zoom, без да подозират, че това може да е атака.

   • Диалоговият прозорец за дистанционен достъп не съдържа ясни индикатори за риск.

2. Липса на строги защити по подразбиране

   • Функцията Remote Control е активирана по подразбиране в много корпоративни акаунти.

   • Администраторите често не изключват опции като *clipboard-sharing*, което позволява на хакерите да копират криптографски ключове.

3. Фокус върху социално инженерство

   • Вместо да експлоатират технически уязвимости, атакуващите манипулират потребителите  самостоятелно да предоставят достъп.

Реални последици и подобни случаи

• Според SEAL, кампанията Elusive Comet е причинила щети за милиони долари.

• Trail of Bits разкри, че същата тактика е използвана при атаката срещу Bybit през февруари 2024 г., която доведе до кражба на 1,5 милиарда долара.

• Фирмата предупреди, че блокчейн индустрията навлиза в „ера на оперативните грешки“, където социалното инженерство е по-голям риск от техническите уязвимости.

Как да се защитите?

1. Изключете ненужни функции в Zoom

   • Деактивирайте Remote Control и *clipboard-sharing* в настройките на акаунта.

   • Използвайте Enterprise акаунти с по-строги контроли.

2. Проверявайте поканите за срещи

   • Уверете се, че срещите са от легитимни източници (официални имейли, потвърдени профили).

   • Избягвайте „спешни“ покани с неясни детайли.

3. Обучение на екипите

   • Съзнателност за подобни тактики намалява риска от инциденти.

Заключение

Севернокорейските хакерски групи продължават да използват иновативни методи, които експлоатират човешката психология вместо технически слаби места. Този случай подчертава важността на:

• Киберхигиената при използване на инструменти за видеокомуникация.

• Проактивната конфигурация на софтуерните настройки.

• Верификацията на идентичностите преди споделяне на чувствителна информация.

За организациите, работещи с криптовалути, това е важен сигнал за преоценка на сигурността не само на кода, но и на ежедневните комуникационни практики.

Източници: Security Alliance (SEAL), Trail of Bits

Съвет на e-security: Ако използвате Zoom за бизнес комуникации, препоръчваме незабавна проверка на настройките за сигурност и обучение на служителите за подобни рискове.