Kiedy większość z nas kojarzy Zoom z codziennymi spotkaniami online i wideokonferencjami, niewiele osób zdaje sobie sprawę, że ta popularna aplikacja może stać się narzędziem w rękach cyberprzestępców. Najnowsze działania grupy hakerskiej znanej pod nazwą „Elusive Comet” pokazują, jak łatwo funkcja zdalnego sterowania może zostać wykorzystana do kradzieży kryptowalut. Metoda ataku jest wyrafinowana i oparta na socjotechnice, co sprawia, że nawet osoby obeznane z technologią mogą paść ofiarą oszustów. Scenariusz ataku przypomina dobrze znane schematy wyłudzeń, jednak tym razem przestępcy poszli o krok dalej. Wykorzystując funkcjonalności Zoom, które teoretycznie mają ułatwiać współpracę online, zamieniają je w pułapkę, która pozwala im na pełne przejęcie kontroli nad komputerem ofiary. Wszystko zaczyna się bardzo niewinnie. Do potencjalnej ofiary trafia zaproszenie na rozmowę kwalifikacyjną rzekomo organizowaną przez „Bloomberg Crypto”. Zaproszenie jest starannie przygotowane, a link do spotkania rozsyłany przez autentycznie wyglądające narzędzie Calendly, co skutecznie obniża czujność adresatów. Osoby stojące za kampanią podszywają się pod dziennikarzy znanych serwisów zajmujących się tematyką finansową, budując w ten sposób wiarygodność i wzbudzając zaufanie. Dla wielu odbiorców, którzy działają w branży kryptowalutowej, propozycja rozmowy z tak prestiżowym medium wydaje się zbyt kusząca, by ją zignorować. To właśnie ten moment staje się punktem wyjścia dla całej operacji.
Manipulacja zaufaniem i funkcjami Zoom
Podczas zaplanowanej wideorozmowy sprawcy inicjują sesję udostępniania ekranu i w pewnym momencie wysyłają prośbę o zdalne sterowanie urządzeniem. Kluczową częścią tego procederu jest manipulacja nazwą użytkownika w Zoom. Hakerzy zmieniają swoją nazwę wyświetlaną w aplikacji na „Zoom”, co sprawia, że pojawiające się na ekranie powiadomienie wygląda tak, jakby było oficjalnym komunikatem samej platformy. Ofiara widzi komunikat, że „Zoom prosi o zdalne sterowanie ekranem” i często, bez większego zastanowienia, wyraża zgodę. To jedno kliknięcie wystarcza, by cyberprzestępcy uzyskali pełny dostęp do systemu. Od tego momentu mogą swobodnie poruszać się po komputerze ofiary, kopiować poufne dane, instalować złośliwe oprogramowanie, a co najgroźniejsze – inicjować nieautoryzowane transakcje kryptowalutowe. W praktyce oznacza to, że inwestorzy mogą stracić środki zgromadzone w cyfrowych portfelach, zanim zdążą zorientować się, co właściwie zaszło. Ataki tego typu są szczególnie niebezpieczne ze względu na swoją subtelność. W przeciwieństwie do klasycznych metod, które opierają się na wykorzystywaniu luk w oprogramowaniu, tutaj cała operacja bazuje na manipulacji i błędach ludzkich. Ofiary, przekonane o autentyczności zaproszenia i komunikatów, same umożliwiają dostęp do swoich urządzeń. Co więcej, sposób działania „Elusive Comet” jest niemal kopią technik stosowanych wcześniej przez grupę Lazarus, odpowiedzialną za głośne włamanie na Bybit, w którym z kont kryptowalutowych zniknęło aż 1,5 miliarda dolarów.
Jak nie dać się złapać w pułapkę?
Eksperci z firmy Trail of Bits, którzy ujawnili szczegóły działania tego schematu, podkreślają, że kluczową rolę w sukcesie ataku odgrywa psychologia. Cyberprzestępcy nie muszą wyszukiwać dziur w kodzie ani łamać zabezpieczeń. Wystarczy, że zmanipulują użytkownika do wykonania jednego, pozornie niewinnego działania. Co ciekawe, to właśnie próba przeprowadzenia takiego ataku na samego szefa Trail of Bits pozwoliła firmie rozpoznać i opisać tę metodę działania. Zaproszenie przyszło przez bezpośrednią wiadomość na X (dawny Twitter), a podejrzane szczegóły rozmowy kwalifikacyjnej wzbudziły czujność adresata, dzięki czemu udało się przeanalizować techniki stosowane przez hakerów. Warto, nie tylko ograniczyć korzystania z tego typu narzędzi, ale także wdrożyć dodatkowe mechanizmy zabezpieczające, takie jak polityka prywatności, uniemożliwiające przyznanie dostępu do funkcji ułatwień dostępu czy stosowanie wyłącznie rozwiązań opartych na przeglądarce, które nie wymagają instalacji klienta Zoom. Nowa fala cyberataków pokazuje, że nie trzeba być programistą ani ekspertem od zabezpieczeń, by paść ofiarą. Wystarczy chwila nieuwagi i jeden klik – a skutki mogą być katastrofalne.
