Угруповання Elusive Comet використовує маловідому функцію Remote Control у Zoom, щоб отримати контроль над комп’ютером жертви, встановити шкідливе ПЗ і викрасти криптовалюту.

Проблему виявили фахівці некомерційної організації Security Alliance (SEAL) і компанії Trail of Bits. За даними дослідників, північнокорейські хакери видають себе за венчурних інвесторів, розсилаючи жертвам фішингові листи з посиланнями на зустрічі в Zoom.

Атака починається зі стандартного пресрелізу або особистого повідомлення, у якому жертві пропонують узяти участь у подкасті Aureon Capital, а хакери видають себе за ведучих подкастів, журналістів і венчурні компанії.

Якщо людина попадається на виверт із подкастом, хакери призначають їй зустріч у Zoom, нібито щоб дізнатися більше про роботу потенційної жертви. Іноді деталі зустрічі приховують до останньої хвилини, щоб створити відчуття терміновості.

“Після того як потенційна жертва приєднується до розмови, їй пропонується поділитися своїм екраном, нібито для того, щоб продемонструвати свою роботу. У цей момент хакери використовують Zoom, щоб запросити віддалений контроль над комп’ютером жертви. Якщо потенційна жертва не дуже уважна, вона може випадково надати зловмисникам віддалений доступ, що дасть змогу Elusive Comet розгорнути своє шкідливе ПЗ”, – ідеться в оповіщенні SEAL.

Функція Remote Control дає змогу одному користувачеві взяти під контроль комп’ютер іншого учасника зустрічі, якщо той дав на це явний дозвіл.

Хитрість полягає в тому, що один з учасників хак-групи приєднується до зустрічі під ім’ям Zoom і запитує віддалене управління системою жертви. Оскільки учасник відеоконференції носить ім’я Zoom, спливаюче вікно виглядає як системний запит на отримання дозволу від самої програми, що може обдурити неуважних жертв.

За словами дослідників, малварь Elusive Comet може виступати як у ролі інфостилера, який одразу краде дані, так і в ролі RAT (трояна віддаленого доступу), що дає змогу викрасти секрети пізніше. Зазвичай після встановлення малварь починає переглядати в системі жертви сесії браузера, менеджери паролів і шукає seed-фрази.

Фахівці SEAL повідомляють, що такі атаки вже призвели до «мільйонних збитків», і в їхньому звіті перелічено близько тридцяти акаунтів у соціальних мережах і кілька корпоративних сайтів, які використовували для надання фальшивій Aureon Capital видимої легітимності.

При цьому експерти Trail of Bits повідомили, що зіткнулися з такими атаками особисто: два користувачі X, які видавали себе за продюсерів Bloomberg, намагалися запросити головного виконавчого директора компанії для участі в колонці Crypto. Зловмисники наполегливо просили експерта зателефонувати через Zoom і намагалися перехопити контроль над його машиною описаним вище способом.

Варто зазначити, що в документації Zoom чітко вказано, що функція Remote Control ніколи не призначалася для адміністрування. Цю in-meeting опцію може бути вимкнено хостом, на рівні облікового запису, групи або користувача. Адміністратори також можуть заблокувати Remote Control і опцію спільного доступу до буфера обміну, яку зловмисники використовують для передачі закритих ключів між машинами.

Однак на практиці мало хто знає про Remote Control загалом, а діалогове вікно виглядає як звичайний запит від Zoom. Експерти Trail of Bits стверджують, що саме ця неоднозначність інтерфейсу становить головну небезпеку.

“Ця атака особливо небезпечна через схожість діалогового вікна дозволу з іншими нешкідливими повідомленнями від Zoom. Користувачі, які звикли натискати «Approve» у запитах Zoom, можуть надати повний контроль над своїм комп’ютером, не усвідомлюючи наслідків”, – попереджають у Trail of Bits.

Фахівці Trail of Bits і Security Alliance рекомендують відключити функцію віддаленого управління і весь пакет спеціальних можливостей Zoom, якщо він не використовується.