Um grupo de hackers denominado 'Elusive Comet' tem como alvo usuários de criptomoedas em ataques de engenharia social que exploram o recurso de controle remoto do Zoom para enganar os usuários a concederem acesso às suas máquinas.
O recurso de controle remoto do Zoom permite que os participantes da reunião assumam o controle do computador de outro participante.
De acordo com a empresa de cibersegurança Trail of Bits, que se deparou com essa campanha de engenharia social, os perpetradores espelham técnicas usadas pelo grupo de hackers Lazarus no massivo roubo de criptoativos de $1,5 bilhão na Bybit.
"A metodologia ELUSIVE COMET espelha as técnicas por trás do recente hack de $1,5 bilhão da Bybit em fevereiro, onde atacantes manipularam fluxos de trabalho legítimos em vez de explorar vulnerabilidades de código," explica o relatório da Trail of Bits.
A Trail of Bits tomou conhecimento desta nova campanha depois que os atores da ameaça tentaram realizar o ataque de engenharia social em seu CEO via mensagens diretas no X.
O ataque começa com um convite para uma entrevista de "Bloomberg Crypto" via Zoom, enviado a alvos de alto valor por contas fake no X, ou por e-mail (bloombergconferences[@]gmail.com).
As contas falsas se passam por jornalistas focados em cripto ou veículos da Bloomberg e se comunicam com os alvos através de mensagens diretas nas plataformas de mídia social.
Os convites são enviados por meio de links do Calendly para agendar uma reunião via Zoom.
Como tanto o Calendly quanto os convites/links do Zoom são autênticos, eles funcionam como esperado e reduzem as suspeitas do alvo.
Durante a chamada do Zoom, o atacante inicia uma sessão de compartilhamento de tela e envia um pedido de controle remoto ao alvo.
O truque empregado nesta etapa é que os atacantes renomeiam seu nome de exibição no Zoom para "Zoom", fazendo com que a mensagem que a vítima vê seja "Zoom está solicitando controle remoto da sua tela", dando a impressão de ser um pedido legítimo do aplicativo.
No entanto, aprovar o pedido dá aos atacantes controle total de entrada remota no sistema da vítima, permitindo-lhes roubar dados sensíveis, instalar malware, acessar arquivos ou iniciar transações de criptomoedas.
O atacante pode agir rapidamente para estabelecer acesso persistente ao implantar um backdoor discreto para exploração futura e se desconectar, deixando as vítimas com poucas chances de perceber o comprometimento.
"O que torna este ataque particularmente perigoso é a semelhança do diálogo de permissão com outras notificações inofensivas do Zoom," diz a Trail of Bits.
Usuários habituados a clicar em 'Aprovar' nos prompts do Zoom podem conceder controle total de seu computador sem perceber as implicações.
Para se defender contra essa ameaça, a Trail of Bits sugere a implementação de perfis de Controle de Políticas de Preferências de Privacidade (PPPC) em todo o sistema que impeçam o acesso de acessibilidade, o que é possível usando esta coleção de ferramentas.
A empresa recomenda a remoção completa do Zoom de todos os sistemas para ambientes críticos de segurança e organizações que lidam com ativos digitais valiosos.
"Para organizações que lidam com dados particularmente sensíveis ou transações de criptomoedas, a redução de riscos ao eliminar completamente o cliente do Zoom muitas vezes supera o pequeno inconveniente de usar alternativas baseadas em navegador," explica a Trail of Bits.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...