黑客滥用Zoom远程控制特性盗取密币

Zoom 的远程控制特性允许参会者控制其他与会人员的计算机。网络安全公司Trail of Bits 遭遇了该社工攻击，犯罪分子模仿的是盗窃价值150亿美元的Lazarus 黑客组织。该公司在报告中解释称，“ELUSIVE COMET的方法与2月盗取 Bybit 价值150亿美元密币的技术相似，后者操纵了合法工作流而非利用代码漏洞。”

基于Zoom的面试诱骗

Trail of Bits 提到，威胁行动者试图通过在X平台上直接发送消息的方式对该公司的CEO进行社工攻击。

该攻击始于通过 Zoom 发送 “Bloomberg Crypto”面试邀请，通过X平台上的虚假网络身份账号或邮件 (bloombergconferences[@]gmail.com) 发送给高价值目标。这些虚假账号模拟专注于密币的记者或彭博社媒体并通过在社交媒体平台上直接发送消息的方式接触目标。

攻击者通过 Calendly 链接发送面试邀请，安排 Zoom 会议。由于 Calendly 和 Zoom 邀请/链接是真实的，因此并未发生异常并降低了目标的怀疑。在Zoom 通话期间，攻击者发起屏幕共享会话并向目标发送远程控制请求。这一阶段的诱饵在于，攻击者将Zoom显示名称更名为“Zoom”，因此受害者看到的提示是“Zoom 正在请求对您屏幕的远程控制”，使其看似是来自 Zoom 应用的合法请求。然而，如受害者同意，则攻击者会获得对受害者系统的完全远程输入控制权限，可以窃取敏感数据、安装恶意软件、访问文件或者发起密币交易。

攻击者可能会迅速通过植入隐秘后门以便后续利用和断联的方式，建立永久访问权限，而受害者几乎没有机会发现这一攻陷行为。Trail of Bits 公司表示，“这一攻击尤其危险的地方在于，许可对话与其它非恶意Zoom通知之间存在相似之处。用户习惯性地点击 Zoom 提示上的‘Approve’按钮，可能会在毫不知情的情况下导致攻击者完全控制自己的计算机。”

为了防御此类威胁，Trail of Bits 公司建议在系统范围内执行“隐私偏好策略控制 (PPPC)”配置，阻止可访问性权限，具体可通过使用相关工具集实现。该公司建议从安全关键环境和处理高价值数字化资产的组织机构中，彻底删除 Zoom。该公司解释称，“对于处理特别敏感的数据或密币交易的组织机构而言，因完全删除 Zoom 客户端所降低的风险通常要比因使用基于浏览器的替换选项而带来的微小不便更重要。”