【高危预警】小心！Zoom 远程控制被黑客武器化，专攻加密货币用户

警报拉响！一个代号“Elusive Comet”的黑客团伙正通过高度针对性的社会工程学攻击，将目光锁定在加密货币持有者身上。他们并非挖掘 Zoom 的代码漏洞，而是巧妙地滥用了 Zoom 合法的“远程控制”功能，诱导用户在不经意间交出电脑控制权。

攻击手法：更隐蔽的“流程操纵”

网络安全公司 Trail of Bits 揭露了此次攻击，并指出其手法与臭名昭著的 Lazarus Group 在 Bybit 盗窃案中的策略类似：重点在于操纵合法的应用程序工作流程和用户交互，而非利用技术漏洞。这种方法往往更难被传统的、基于恶意代码签名的安全软件检测，因为它利用的是程序的“预期行为”，核心在于欺骗“人”与“流程”。

攻击流程全景解析：四步陷阱

1. 精准钓鱼
   
   攻击者使用伪装成加密货币记者或彭博社媒体的 X 账号（即 sock-puppet，伪装身份的小号）或特定邮箱 (bloombergconferences[@]gmail.com)，向高价值目标发送私信或邮件。
2. 合法平台掩护
   
   邀请函中包含指向 Calendly 的链接，用于安排一个虚假的“彭博加密货币”线上采访。Calendly 和 Zoom 都是常用正规工具，其生成的链接真实有效，极大地麻痹了受害者的警惕心。
3. Zoom 会议中的“偷梁换柱”
• 会议开始后，攻击者发起屏幕共享。
• 接着，向目标发送远程控制请求。
• 核心诡计上演
  
  攻击者在此之前，已将自己的 Zoom 显示名称修改为“Zoom”。
• 视觉欺骗达成
  
  受害者看到的权限请求弹窗会显示“Zoom 正请求远程控制您的屏幕”。这极易被误认为是 Zoom 应用自身的正常请求。就好比有人穿着印有‘Zoom官方’字样的马甲，向你索要系统权限，让你放下戒备。 这是一种精心设计的用户界面(UI)视觉欺骗。
4. 完全控制与深度潜伏
• 用户一旦点击“批准”，攻击者即刻获得对系统的完全远程输入控制权。
• 他们可以窃取钱包私钥、交易密码、API 密钥等核心敏感信息，访问任意文件，甚至直接操作加密货币转账。
• 更危险的是
  
  攻击者通常动作迅速且隐蔽地植入后门程序。这意味着即使当前的 Zoom 会议结束，攻击者也能在未来任意时间重新秘密连接并控制受害者的计算机，实现长期潜伏和持续窃取，让受害者几乎没有反应时间。

危险根源：用户习惯的利用

Trail of Bits 强调：“这种攻击的狡猾之处在于，被篡改后的权限请求弹窗，看起来和 Zoom 平时那些无害的通知（如请求录音权限）几乎一样。用户可能已经习惯了快速点击‘批准’，从而在毫不知情的情况下，将自己的电脑控制权拱手相让。”

如何防御？技术加固与意识提升

Trail of Bits 针对此类威胁提出建议：

1. 强化系统权限管控 (技术层面)
• macOS 用户
  
  可通过部署系统范围的隐私偏好策略控制 (PPPC) 配置文件，严格限制 Zoom 等应用获取“辅助功能”的访问权限，这是远程控制的技术基础。
• 其他系统用户
  
  也应积极利用操作系统提供的安全机制。例如，在 Windows 环境下，管理员可以审慎配置用户账户控制 (UAC) 等级、运用 AppLocker 应用程序白名单策略，或借助第三方端点安全解决方案来精细化管理应用权限；Linux 用户则可依赖 SELinux 或 AppArmor 等强制访问控制框架增强系统防护。
2. 移除客户端 (特定高风险场景)
• 请注意，这是针对特定群体的建议
  
  对于那些安全要求极高、直接处理大量加密货币交易或掌握核心敏感数据的组织和个人，Trail of Bits 强烈建议考虑彻底卸载 Zoom 桌面客户端。
• 作为替代，可以使用功能相对受限但攻击面更小的浏览器版 Zoom。在这种高风险场景下，消除桌面客户端引入的潜在风险，其安全收益通常大于使用浏览器版带来的操作不便。

审视每一个权限请求，警惕 UI 欺诈

“Elusive Comet”的攻击实例警示我们，即使是日常使用的合法软件功能，也可能被攻击者武器化。在数字世界中，安全不仅在于防范已知的病毒和漏洞，更在于审慎对待每一次交互和授权。攻击者利用的正是我们对熟悉界面的信任和操作习惯。

• 核心建议
  
  对 Zoom 或任何其他应用弹出的任何权限请求，尤其是涉及屏幕共享、远程控制、辅助功能访问的请求，务必停下来、仔细看、认真想：
• 这个请求是谁发起的？（真的是应用本身，还是某个参会者？）
• 这个请求在当前场景下是否合理？
• 弹窗上的发起者名称是否可能被伪造？（如本例中的“Zoom”）
• 黄金法则
  
  永远不要在不完全理解请求内容和后果，或对请求来源有任何疑虑时，点击“批准”或“允许”。

保持警惕，培养审慎的操作习惯，是抵御此类社会工程学攻击最有效的防线。

原文始发于微信公众号（技术修道场）：【高危预警】小心！Zoom 远程控制被黑客武器化，专攻加密货币用户