Grupul infracțional „Elusive Comet” folosește tehnici sofisticate de inginerie socială pentru a infecta dispozitivul victimei, fie cu un infostealer, fie cu un troian cu acces la distanță (RAT).
Cercetătorii de la Security Alliance urmăresc o campanie în desfășurare a unui grup numit Elusive Comet, care vizează utilizatorii de criptomonede prin tactici sofisticate de inginerie socială.
Scopul atacatorului este de a păcăli victimele să instaleze programe malware, permițându-i să le fure criptomonedele după ce obține acces la dispozitivul infectat al victimelor.
Atacatorii „Elusive Comet” folosesc Zoom pentru a escroca victimele
În prezent, Elusive Comet este responsabil pentru pierderi de milioane de dolari în fonduri de cripromonede furate și reprezintă „un risc semnificativ pentru utilizatori datorită scenariilor atent concepute”, potrivit cercetătorilor.
Grupul își menține presupusa legitimitate printr-o prezență online puternică, prin crearea de site-uri web legitime, precum și de profiluri active pe rețelele sociale pentru a-și menține înșelăciunea. Grupul este cunoscut, de exemplu, pentru că operează Aureon Capital, care se deghizează în firmă legitimă de capital de risc, precum și Aureon Press și The OnChain Podcast. Contactează potențialele victime prin mesaje directe pe X sau e-mail sau invitându-le să fie invitați la podcastul lor.
„Dacă sunt acceptați, vor programa un apel prin Zoom pentru a afla mai multe despre munca potențialei victime, uneori ascunzând detaliile întâlnirii până în ultimul moment pentru a induce o urgență suplimentară”, au spus cercetătorii. „Odată ce potențiala victimă s-a alăturat apelului, i se solicită să își partajeze ecranul pentru a-și prezenta munca”.
Cea mai recentă operațiune a Elusive Comet
Elusive Comet va folosi apoi apelul Zoom pentru a solicita controlul asupra computerului victimei, permițând actorului amenințător să instaleze malware-ul – fie un infostealer, fie un troian cu acces la distanță (RAT) – pe dispozitivul victimei. De acolo, informațiile de pe dispozitivul victimei vor fi exfiltrate către atacator fie imediat, fie ulterior.
De fapt, o postare pe blog a firmei de cercetare în domeniul securității cibernetice Trail of Bits detaliază cum propriul CEO a fost vizat de această campanie după ce a primit o ofertă de a apărea la un podcast numit „Bloomberg Crypto”.
„El a recunoscut imediat semnele distinctive ale unei campanii sofisticate de inginerie socială”, se arată în postarea pe blog. „Ceea ce părea a fi o oportunitate media legitimă era, de fapt, cea mai recentă operațiune a Elusive Comet”.
Schema de interviu bazată pe conferința Zoom
Atacul începe cu o invitație la un interviu „Bloomberg Crypto” prin Zoom, trimisă unor ținte valoroase prin intermediul conturilor de tip „sock-puppet” de pe X sau prin e-mail (bloombergconferences[@]gmail.com).
Conturile false se dau drept jurnaliști sau agenți Bloomberg axați pe criptomonede și contactează țintele prin mesaje directe pe platformele de socializare.
Invitațiile sunt trimise prin linkuri Calendly pentru a programa o întâlnire Zoom. Deoarece atât invitațiile/linkurile Calendly, cât și cele Zoom sunt autentice, acestea funcționează conform așteptărilor și reduc suspiciunile țintei.
În timpul apelului Zoom, atacatorul inițiază o sesiune de partajare a ecranului și trimite o solicitare de control de la distanță către țintă.
Aprobarea solicitării oferă atacatorilor control deplin de la distanță asupra sistemului victimei
Trucul folosit în această etapă este că atacatorii își redenumesc numele de afișare in conferința Zoom în „Zoom”, astfel încât mesajul pe care îl vede victima să indice „Zoom solicită controlul de la distanță al ecranului dvs.”, făcând-o să pară o solicitare legitimă din partea aplicației.
Totuși, aprobarea solicitării oferă atacatorilor control deplin de la distanță asupra sistemului victimei, ceea ce le permite să fure date sensibile, să instaleze programe malware, să acceseze fișiere sau să inițieze tranzacții cripto.
Atacatorul poate acționa rapid pentru a stabili acces persistent prin implantarea unui backdoor ascuns pentru exploatare și deconectare ulterioară, lăsând victimelor puține șanse de a realiza compromisul.
„Ceea ce face ca acest atac să fie deosebit de periculos este asemănarea dialogului de permisiune cu alte notificări Zoom inofensive”, spune Trail of Bits.
„Utilizatorii obișnuiți să dea clic pe «Aprobă» la solicitările Zoom pot acorda control complet asupra computerului lor fără a realiza implicațiile”.
Măsuri recomandate pentru combaterea acestor atacuri
Specialiști în securitatea cibernetică recomandă utilizatorilor să efectueze diligența necesară atunci când primesc o ofertă sau o solicitare de la o persoană necunoscută și să se asigure că comunică cu profilul legitim și nu cu un imitator. Aceștia recomandă, de asemenea, ca toate apelurile video să aibă loc pe o platformă de încredere, cum ar fi Zoom, Google Meet, Microsoft Teams sau o altă platformă cunoscută.
Atunci când utilizează Zoom, se recomandă utilizatorilor să acorde o atenție deosebită pentru a evita acordarea accidentală a controlului asupra dispozitivului lor unui interlocutor necunoscut. Pentru siguranță suplimentară, se recomandă utilizatorilor să urmeze aceste instrucțiuni pentru a dezactiva complet funcționalitatea de control de la distanță. De asemenea, se recomandă echipelor IT/de securitate să urmeze aceste instrucțiuni pentru a dezactiva funcționalitatea de control de la distanță pe întreaga rețea Zoom.
