Saviez-vous que lorsque vous participez à un appel de zoom, vous pouvez accorder la permission à d’autres participants de contrôler à distance votre ordinateur?
Bien que cette fonctionnalité puisse être utile lorsqu’il s’agit de la famille de confiance, des amis et des collègues, les acteurs de la menace ont commencé à l’abuser pour installer des logiciels malveillants sur l’ordinateur de Targets.
L’attaque de télécommande zoom
Cette tactique spécifique a été exploitée par un individu ou un groupe que la Security Alliance (SEAL) – un organisme à but non lucratif dédié à l’amélioration de la sécurité au sein de la crypto-monnaie et des secteurs financiers décentralisés – a surnommé l’insaisissable de la comète.
«L’obsaisissable Comet est connu pour exploiter Aureon Capital, qui prétend être une société de capital-risque légitime, ainsi que des entités connexes Aureon Press et le podcast Onchain. La COMET insaisissable maintient une forte présence en ligne avec une histoire étendue afin d’établir et de maintenir la légitimité. expliqué.
L’acteur de menace contacte généralement les victimes potentielles via Twitter DMS ou par e-mail et les invite à être invités sur leur podcast. S’ils acceptent et rejoignent un appel de zoom démarré par l’attaquant, ils sont à un moment donné à partager leur écran pour présenter leur travail.
«À ce stade, la Comet insaisissable utilisera Zoom pour demander le contrôle de l’ordinateur de la victime potentielle. Si la victime potentielle ne prête pas une attention particulière, ils peuvent accidentellement accorder un accès à distance, ce qui permet à Insusive Comet d’installer leurs logiciels malveillants sur l’appareil de la victime.»
Comment les victimes sont trompées
Jake Gallen, PDG de la plate-forme NFT Emblem Vault, a été l’une des victimes de Comet insaisissables (ou, peut-être, la victime d’un autre acteur de menace utilisant la même tactique). Il a perdu environ 100 000 $ et le contrôle de certains de ses comptes après avoir fait compromettre son ordinateur et, dit-il, il n’est pas le seul.
Le PDG de la société de recherche et de conseil en cybersécurité Trail of Bits a également été ciblé, mais sans succès.
«Deux comptes Twitter distincts ont approché notre PDG avec des invitations à participer à une série« Bloomberg Crypto »- un scénario qui a immédiatement soulevé des drapeaux rouges», a partagé Andrew Mills, ingénieur de sécurité chez Trail of Bits.
“Les attaquants ont refusé de communiquer par e-mail et ont dirigé la planification à travers des pages calendantes qui n’étaient clairement pas des propriétés officielles de Bloomberg. Ces anomalies opérationnelles, plutôt que des indicateurs techniques, ont révélé l’attaque de ce qu’elle était.”
Mills ‘explique comment les cibles sont trompées pour donner à l’acteur de menace le contrôle à distance de leur écran: avant de demander l’autorisation, l’attaquant modifie son nom d’affichage en «zoom» pour faire apparaître la demande comme une notification système.
Cela expliquerait pourquoi Gallen dit qu’il «ne se souvient pas de cliquer sur un bouton pour donner un accès à distance ni de voir des écrans pendant l’appel que l’accès à distance a été donné.»
Les utilisateurs utilisés pour approuver les invites de zoom sont susceptibles d’agir automatiquement, dit-il. “La boîte de dialogue d’autorisation ne communique pas clairement les implications de sécurité”, a-t-il ajouté, et a noté que les victimes sont susceptibles d’être “axées sur une conversation professionnelle, et non une analyse de la sécurité”.
Atténuer le risque
Par défaut, Zoom permet aux utilisateurs de donner la permission de la télécommande sur leur ordinateur. La possibilité doit être explicitement interdite par l’utilisateur ou les équipes informatiques / sécurité pour son locataire zoom.
Mills pense également que «pour les environnements ou les organisations de haute sécurité qui gèrent la crypto-monnaie, l’approche la plus directe est de supprimer complètement le zoom des systèmes.»
Bien que vous ne soyez peut-être pas prêt à supprimer le zoom, il est généralement une bonne idée de l’option de télécommande dans les paramètres de zoom. Bien que cette technique particulière semble être actuellement exploitée par un ou quelques acteurs de menace pour cibler des cibles de haut niveau, il ne faudra probablement pas longtemps jusqu’à ce que d’autres attaquants commencent à l’essayer.
«L’insaisissable COMET CAME représente l’évolution continue des menaces ciblant la sécurité opérationnelle plutôt que des vulnérabilités techniques. Comme nous sommes entrés dans l’ère des défaillances de la sécurité opérationnelle, les organisations doivent faire évoluer leur posture défensive pour aborder ces vecteurs d’attaque centrés sur l’homme», a conclu Mills.
Abonnez-vous à notre alerte e-mail de Breaking News pour ne jamais manquer les dernières violations, vulnérabilités et menaces de cybersécurité. Abonnez-vous ici!
