Cybersicherheitsexperten haben eine ausgeklügelte Angriffskampagne aufgedeckt, bei der die nordkoreanische Hackergruppe Elusive Comet eine wenig bekannte Remote-Control-Funktion in Zoom ausnutzt. Die von Security Alliance (SEAL) und Trail of Bits dokumentierte Kampagne zielt gezielt auf Krypto-Investoren ab und hat bereits Schäden in Millionenhöhe verursacht.
Sophistizierte Social-Engineering-Taktiken
Die Angreifer haben eine komplexe Täuschungsinfrastruktur aufgebaut, die aus der fiktiven Venture-Capital-Firma „Aureon Capital“ besteht. Sie nutzen etwa 30 gefälschte Social-Media-Profile und mehrere professionell gestaltete Unternehmenswebsites, um potenzielle Opfer zu Podcast-Interviews einzuladen. Die Täter geben sich dabei als Journalisten, Moderatoren oder Investmentexperten aus.
Technische Details des Angriffsvektors
Der Angriffsvektor basiert auf der Remote-Control-Funktionalität von Zoom. Sobald das Opfer der Videokonferenz beitritt, erscheint eine täuschend echt aussehende Systemmeldung, die vorgibt, von Zoom selbst zu stammen. Diese requesting unter dem Benutzernamen „Zoom“ Fernzugriff auf das System des Teilnehmers.
Zwei-Phasen-Malware-Deployment
Nach erfolgreicher Kompromittierung wird eine Malware installiert, die dual operiert: Als Informationsdieb (Infostealer) für die sofortige Extraktion sensibler Daten und als Remote Access Trojan (RAT) für anhaltenden Systemzugriff. Primäre Angriffsziele sind Browser-Sessions, Passwort-Manager-Daten und Seed-Phrasen von Kryptowährungswallets.
Präventive Sicherheitsmaßnahmen
Sicherheitsexperten empfehlen folgende kritische Schutzmaßnahmen für Zoom-Administratoren und -Nutzer:
– Deaktivierung der Remote-Control-Funktion auf allen Ebenen
– Blockierung des Clipboard-Sharing
– Implementierung strenger Authentifizierungsprotokolle
– Deaktivierung nicht benötigter Zoom-Accessibility-Features
Dieser Vorfall unterstreicht die wachsende Sophistikation staatlich gesponserter Cyberangriffe und die Notwendigkeit erhöhter Wachsamkeit bei der Nutzung von Kollaborationstools. Organisationen sollten ihre Sicherheitsrichtlinien überprüfen, regelmäßige Schulungen durchführen und ein mehrstufiges Sicherheitskonzept implementieren. Die kontinuierliche Überwachung und schnelle Reaktion auf neue Bedrohungsmuster bleiben entscheidend für die effektive Abwehr solcher gezielter Angriffe.
