Een geavanceerde hackersgroep, die zichzelf ‘Elusive Comet’ noemt, voert momenteel gerichte aanvallen uit op gebruikers van cryptovaluta. Hun methode? Het misbruiken van de afstandsbedieningsfunctie in Zoom om op slinkse wijze toegang te verkrijgen tot de computers van slachtoffers. De aanvallen maken gebruik van slimme sociale manipulatie en lijken in veel opzichten op de beruchte Lazarus-aanval die eerder dit jaar leidde tot de diefstal van maar liefst 1,5 miljard dollar aan cryptovaluta van Bybit.
Cryptovaluta
Volgens beveiligingsbedrijf Trail of Bits, dat de aanvalsmethode heeft onderzocht, begint het met een uitnodiging voor een zogenaamd interview via Zoom, uit naam van ‘Bloomberg Crypto’. De uitnodiging wordt verstuurd via nepprofielen op sociale media of per e-mail, bijvoorbeeld vanuit het adres bloombergconferences[@]gmail.com. De communicatie lijkt op het eerste gezicht legitiem, mede doordat gebruik wordt gemaakt van echte diensten zoals Calendly en Zoom voor het plannen en uitvoeren van de meetings.
Afstandsbediening
Eenmaal in het Zoom-gesprek delen de aanvallers hun scherm en sturen ze een verzoek tot afstandsbediening. Hier komt het bedrog: ze veranderen hun Zoom-gebruikersnaam in ‘Zoom’, zodat het verzoek bij het slachtoffer verschijnt als “Zoom vraagt om afstandsbediening van uw scherm.” Nietsvermoedende gebruikers, gewend aan het goedkeuren van dergelijke meldingen, klikken op ‘Toestaan’ en geven zo volledige toegang tot hun computer.
Met deze toegang kunnen de hackers gevoelige gegevens stelen, malware installeren, bestanden benaderen of zelfs directe cryptotransacties uitvoeren. Vaak installeren ze ook een achterdeur om later opnieuw toegang te krijgen, zonder dat het slachtoffer iets doorheeft.
Waarschuwing
Trail of Bits waarschuwt dat deze methode bijzonder gevaarlijk is door de gelijkenis van het verzoek met reguliere Zoom-notificaties. “Gebruikers zijn geconditioneerd om op ‘Toestaan’ te klikken zonder na te denken”, aldus het rapport.
Om dit soort aanvallen te voorkomen, raadt Trail of Bits aan om system-wide Privacy Preferences Policy Control (PPPC) profielen in te stellen die afstandsbediening blokkeren. Voor organisaties die werken met waardevolle digitale activa, zoals cryptobedrijven, luidt het dringende advies zelfs: verwijder Zoom volledig van alle systemen. Gebruik in plaats daarvan browser-gebaseerde alternatieven, die minder risico vormen voor dergelijke kritieke omgevingen.