Investigadores de Security Alliance (SEAL) y Trail of Bits han descubierto una sofisticada campaña de ciberataques dirigidos por el grupo norcoreano Elusive Comet. Los atacantes están explotando una función poco conocida de Zoom llamada Remote Control para comprometer sistemas y robar criptoactivos de sus víctimas.

Sofisticada Campaña de Ingeniería Social

Los ciberdelincuentes han desarrollado una elaborada operación de ingeniería social que comienza con correos electrónicos de phishing suplantando a inversores de capital riesgo. Utilizando una empresa ficticia llamada Aureon Capital, los atacantes han creado una red de aproximadamente 30 perfiles falsos en redes sociales y varios sitios web corporativos para dar credibilidad a su engaño. Las víctimas son invitadas a participar en supuestos podcasts, donde los atacantes se hacen pasar por presentadores y periodistas.

Explotación de la Función Remote Control

El vector de ataque principal se centra en el uso malicioso de la función Remote Control de Zoom. Durante las videollamadas, los atacantes, utilizando un nombre de usuario «Zoom», solicitan acceso remoto al sistema de la víctima. La solicitud aparece como una notificación legítima del sistema, aumentando significativamente la probabilidad de que usuarios desprevenidos concedan el acceso.

Impacto y Alcance del Ataque

Una vez comprometido el sistema, el malware desplegado opera en dos modalidades: como infostealers para la extracción inmediata de datos y como troyano de acceso remoto (RAT) para mantener el acceso persistente. Los objetivos principales incluyen datos de sesiones de navegador, información de gestores de contraseñas y frases semilla de carteras de criptomonedas. Las pérdidas financieras reportadas ya superan varios millones de dólares.

Medidas de Protección Recomendadas

Los expertos en ciberseguridad recomiendan implementar las siguientes medidas preventivas:
– Desactivar la función Remote Control a nivel de cuenta y organización
– Restringir el acceso al portapapeles compartido
– Implementar autenticación multifactor para todas las sesiones
– Desinstalar los complementos de accesibilidad de Zoom cuando no sean necesarios
– Establecer políticas estrictas para la aprobación de solicitudes de control remoto

Este incidente resalta la importancia crítica de mantener actualizadas las políticas de seguridad en herramientas de colaboración remota y la necesidad de capacitación continua en ciberseguridad para todos los empleados. Las organizaciones deben realizar auditorías regulares de sus configuraciones de seguridad y mantener protocolos estrictos para la verificación de identidad en comunicaciones comerciales.