Zoomon keresztül törik fel a kriptotárcákat az észak-koreai hackerek
Az elmúlt hónapokban egy különösen kifinomult, első ránézésre teljesen ártalmatlannak tűnő csalási módszer terjedt el. Egy egyszerű Zoom-videóhívás, amelynek során a támadók teljes irányítást szereznek az áldozat számítógépe felett. A háttérben észak-koreai hacker csoportok állnak, akik ezzel a módszerrel már nagyjából 300 millió dollárnyi kriptót lophattak el.
Hogyan zajlik a támadás?
A történet általában egy ismerősnek tűnő üzenettel indul, amely Telegramon vagy e-mailben érkezik. A feladó gyakran álláslehetőséget ajánl, üzleti megbeszélést vagy csak egy tájékoztató hívást kezdeményez. Az áldozatokat egy Calendly-linken keresztül hívják meg egy Zoom-meetingre.
A hívás kezdetén a támadó egy előre rögzített videót játszik le, amelyet szándékosan kissé mesterségesnek hagynak, hogy élő beszélgetésnek tűnjön. Ezután jön a trükk: a támadó hangproblémákra hivatkozik, és azt kéri, hogy az áldozat telepítsen egy állítólagos „Zoom SDK frissítést”. Ez a fájl azonban egy kártékony szoftvert tartalmaz.
A telepítés után egy úgynevezett RAT-malware (Remote Access Trojan) kerül a számítógépre, amely azonnali távoli hozzáférést biztosít a támadó számára. Így hozzáférhetnek a böngészőben mentett jelszavakhoz, kriptotárca-bővítményekhez (például MetaMaskhoz vagy Phantomhoz), valamint e-mail- és Telegram-fiókokhoz is. Gyakorlatilag teljes irányítást szereznek az eszköz felett.
Kik állnak a támadások mögött?
A támadásokat több észak-koreai hacker csoporthoz kötik, ezek közül a legismertebbek a BlueNoroff és a Lazarus Group. A blokklánc-elemzéssel foglalkozó Elliptic szerint ezek a csoportok idén már több mint 2 milliárd dollár értékű kriptovalutát loptak el. Taylor Monahan, a MetaMask biztonsági elemzője szerint a Telegramon szervezett, mesterséges videókat használó Zoom-csalások gyakorlatilag napi rendszerességgel fordulnak elő.
Mit tehetnek a felhasználók?
A legfontosabb a fokozott óvatosság. Soha ne telepítsünk szoftvert egy videóhívás alatt, különösképpen akkor ne, ha az ismeretlen forrásból érkezik. Ha felmerül bennünk a gyanú, hogy vírustámadás ért minket, a szakértők azt javasolják, hogy azonnal csatlakozzunk le az internetről, kapcsoljuk ki a készülékünket, és kérjünk mihamarabb szakértői segítséget.
A kriptós közösség tagjai különösen veszélyeztetettek ebben. Akik nagyobb mennyiségű kriptoeszközöket kezelnek, vagy az iparágban dolgoznak, azoknak fokozottan résen kell lenniük az ilyen típusú, szociális manipulációra épülő támadásokkal szemben.