HackerNews 编译,转载请注明出处:
朝鲜加密货币窃贼正悄然利用鲜为人知的Zoom远程协作功能,在加密货币交易员与风险投资人士的工作站植入信息窃取恶意软件。非营利性安全联盟(SEAL)与网络安全研究公司Trail of Bits的独立报告显示,伪装成风投机构的平壤黑客通过Calendly链接发送Zoom会议钓鱼诱饵。
该行动被SEAL追踪为“Elusive Comet”,始于标准公关推介或直接邀请目标参与Aureon Capital旗下播客节目。若受害者接受邀请,黑客将安排Zoom通话以获取更多信息,常刻意延迟发送会议细节以制造紧迫感。
SEAL警告称:“受害者加入通话后会被要求共享屏幕进行演示。此时黑客通过Zoom请求控制受害者计算机。若受害者疏忽,可能误授远程权限,使Elusive Comet得以部署恶意软件。”该恶意软件兼具即时窃密与潜伏型远程访问木马(RAT)双重功能。
Zoom远程控制功能需用户明确授权方可实施。在已观测攻击中,黑客将显示名称改为“Zoom”,将权限请求伪装成系统弹窗。用户一旦误点批准,攻击者即获得完整键鼠控制权,随后投放恶意程序(含数据窃取模块与全功能RAT),全面扫描浏览器会话、密码管理器及加密种子短语。
SEAL事件日志显示该行动已造成数百万美元损失,并列出近30个傀儡社交媒体账户与多个伪造的Aureon Capital企业网站。Trail of Bits透露,其首席执行官曾遭遇冒充彭博制片人的X平台账号邀约“加密专题”采访,攻击者拒绝转用邮件沟通、临时发送会议链接,且提供的Zoom账户属于消费级而非彭博企业账户。
该公司技术博客披露,攻击成功依赖macOS“辅助功能”权限与四步社会工程策略:
1、安排看似合法的商务通话
2、屏幕共享时请求远程控制
3、将显示名改为“Zoom”伪装系统通知
4、获取权限后实施恶意操作
Zoom官方文档明确远程控制功能仅限会议便利性使用,管理员可通过账户/群组/用户层级禁用该功能,或移除攻击者用于传输私钥的剪贴板共享选项。但实践中多数企业账户默认开启此功能,且权限弹窗无风险提示。
Trail of Bits指出界面模糊性是攻击核心威胁:熟悉Zoom通知的专业人士易误判风险。该公司将Zoom远程控制标记为“非必要风险”,部署技术控制阻断相关功能,强调“通过限制辅助功能权限消除攻击媒介,同时保留正常视频会议功能”。此次攻击手法与2月Bybit 15亿美元被盗案高度相似,凸显区块链行业已进入“操作安全失效时代”,人为因素风险超越技术漏洞。
消息来源:securityweek;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
