Hackers norcoreanos explotan la función Zoom para robar millones en criptomonedas
Una nueva e inquietante campaña de ciberdelincuencia se dirige contra operadores e inversores de criptomonedas, utilizando la conocida plataforma de videoconferencias Zoom como vector de ataque. Informes de la organización sin fines de lucro Security Alliance (SEAL) y la firma de ciberseguridad Trail of Bits han revelado una astuta operación orquestada por hackers norcoreanos, conocidos por sus incesantes ataques al sector de las criptomonedas. Esta campaña, denominada "Elusive Comet", revela cuán sofisticadas se han vuelto las amenazas de ingeniería social y cómo las herramientas empresariales cotidianas pueden convertirse en armas en las manos equivocadas.
Tabla de contenido
Cebos de phishing disfrazados de oportunidades de negocio
El enfoque de los atacantes es a la vez convincente y sutil. Haciéndose pasar por inversores de capital riesgo o presentadores de podcasts, estos hackers primero contactan con lo que parece ser una propuesta comercial legítima. A menudo, contactan a las víctimas a través de enlaces de Calendly, invitándolas a programar una reunión de Zoom para hablar sobre una supuesta inversión o una aparición en un podcast. La comunicación inicial está diseñada para presentarse como una oportunidad en lugar de una amenaza, lo que reduce las defensas del objetivo y crea una sensación de urgencia al retrasar los detalles de la reunión hasta el último minuto.
Una vez que la víctima se une a la llamada programada de Zoom, los atacantes actúan. Le piden que comparta su pantalla, una petición común en las conversaciones de negocios. Pero luego, aprovechando la función de Control Remoto de Zoom, los hackers solicitan el control del ordenador de la víctima. Un truco engañoso hace esta solicitud aún más peligrosa: los atacantes cambian su nombre de usuario de Zoom a "Zoom", camuflando el cuadro de diálogo de permisos para que parezca una notificación del sistema estándar e inofensiva.
Un clic para un compromiso total
Con un solo clic, la víctima puede controlar por completo el ratón y el teclado. Los atacantes implementan rápidamente malware ladrón de información o troyanos de acceso remoto (RAT) que buscan en el equipo sesiones de navegador, contraseñas guardadas, frases de inicio de monederos de criptomonedas y otra información confidencial. Los registros de SEAL atribuyen millones de dólares en fondos robados a estas tácticas, señalando que los delincuentes se basan en una red de perfiles falsos en redes sociales y sitios web sofisticados para dar credibilidad a su artimaña.
Trail of Bits fue testigo directo del ataque. El director ejecutivo de la empresa recibió mensajes de perfiles X (anteriormente de Twitter) que afirmaban ser productores de Bloomberg, insistiendo en una entrevista de última hora por Zoom sobre criptomonedas. Tras una inspección más detallada, se descubrió que los enlaces de las reuniones de Zoom conducían a cuentas de particulares, no a cuentas corporativas legítimas. Los atacantes se negaron sistemáticamente a comunicarse por correo electrónico, insistiendo en usar Zoom, donde podrían lanzar su exploit.
Una característica defectuosa convertida en vector de ataque
La raíz del ataque es la función de Control Remoto de Zoom, diseñada para el trabajo colaborativo, pero que puede ser objeto de abuso si los usuarios no están atentos. Aunque los anfitriones pueden desactivar esta función a nivel de cuenta, grupo o usuario, suele estar activada por defecto en la configuración corporativa. El cuadro de diálogo de permisos carece de cualquier marca distintiva que indique una solicitud de terceros, lo que facilita que los usuarios sean engañados por un mensaje aparentemente rutinario.
Trail of Bits advierte que este tipo de ataque es particularmente efectivo porque se basa en el comportamiento humano, no en errores de software. Muchos profesionales están acostumbrados a aprobar rápidamente las notificaciones de Zoom, y los atacantes aprovechan esta familiaridad para eludir incluso las defensas de los usuarios más experimentados. La firma vincula esta campaña directamente con incidentes recientes de gran repercusión, como el hackeo de Bybit, valorado en 1500 millones de dólares, que también se basó en la manipulación de flujos de trabajo legítimos en lugar de explotar vulnerabilidades de código.
Protegiéndose de la esquiva amenaza de los cometas
La implicación más amplia es preocupante: a medida que la industria blockchain madura, los atacantes están cambiando su enfoque de las vulnerabilidades técnicas a las vulnerabilidades humanas. La seguridad operativa (proteger los procesos y las decisiones de los usuarios) se ha vuelto tan importante como la defensa contra las fallas de software.
En respuesta, Trail of Bits ha tomado medidas contundentes, desactivando la función de control remoto de Zoom y bloqueando los permisos de accesibilidad que posibilitan estos ataques, sin interferir con el uso normal de las videoconferencias. Instan a las organizaciones y personas del sector de las criptomonedas a hacer lo mismo, revisando su configuración de Zoom y concienciando a los usuarios sobre los peligros de aceptar ciegamente solicitudes de compartir pantalla y control remoto.
Con millones ya perdidos y los atacantes perfeccionando sus métodos, el mensaje es claro: nunca considere las herramientas de videoconferencia como algo seguro. Si opera, invierte o trabaja en el sector de las criptomonedas, piénselo dos veces antes de aceptar solicitudes de reunión inesperadas y nunca apruebe una solicitud de control remoto sin tener la certeza absoluta de su legitimidad. La amenaza puede parecer normal, pero lo que está en juego nunca ha sido tan grave.