Nordkoreanische Hacker nutzen die Zoom-Funktion, um Kryptowährungen im Wert von Millionen zu stehlen
Eine neue und beunruhigende Cybercrime-Kampagne zielt auf Kryptowährungshändler und -investoren ab und nutzt die bekannte Videokonferenzplattform Zoom als Angriffsvektor. Berichte der gemeinnützigen Security Alliance (SEAL) und des Cybersicherheitsunternehmens Trail of Bits haben eine raffinierte Operation nordkoreanischer Hacker aufgedeckt, die für ihre unerbittlichen Angriffe auf den Kryptosektor bekannt sind. Diese Kampagne mit dem Namen „Elusive Comet“ zeigt, wie ausgefeilt Social-Engineering-Bedrohungen geworden sind – und wie alltägliche Geschäftstools in den falschen Händen zu Waffen werden können.
Inhaltsverzeichnis
Phishing-Köder, die als Geschäftsmöglichkeiten getarnt sind
Die Vorgehensweise der Angreifer ist überzeugend und subtil zugleich. Die Hacker geben sich als Risikokapitalgeber oder Podcast-Moderatoren aus und präsentieren zunächst ein scheinbar seriöses Geschäftsangebot. Die Opfer werden oft über Calendly-Links kontaktiert und zu einem Zoom-Meeting eingeladen, um eine vermeintliche Investition oder einen Podcast-Auftritt zu besprechen. Die erste Kommunikation soll eher als Chance denn als Bedrohung erscheinen. Dadurch werden die Abwehrmechanismen des Opfers geschwächt und durch die Verzögerung der Besprechungsdetails bis zur letzten Minute ein Gefühl der Dringlichkeit erzeugt.
Sobald das Opfer dem geplanten Zoom-Anruf beitritt, legen die Angreifer los. Sie fordern das Opfer auf, seinen Bildschirm freizugeben – eine übliche Aufforderung in Geschäftsgesprächen. Doch dann nutzen die Hacker die Fernsteuerungsfunktion von Zoom und verlangen die Kontrolle über den Computer des Opfers. Ein irreführender Trick macht diese Aufforderung noch gefährlicher: Die Angreifer ändern ihren Zoom-Anzeigenamen in „Zoom“ und tarnen den Berechtigungsdialog so, dass er wie eine normale, harmlose Systembenachrichtigung aussieht.
Ein Klick zum Totalkompromiss
Mit einem einzigen Klick kann das Opfer die volle Kontrolle über Maus und Tastatur übernehmen. Die Angreifer setzen schnell Infostealer-Malware oder Remote-Access-Trojaner (RATs) ein, die den Rechner nach Browsersitzungen, gespeicherten Passwörtern, Seed-Phrasen für Krypto-Wallets und anderen sensiblen Informationen durchsuchen. Die Protokolle von SEAL führen den Diebstahl von Geldern in Millionenhöhe auf diese Taktik zurück und weisen darauf hin, dass die Kriminellen auf ein Netzwerk gefälschter Social-Media-Profile und manipulierter Websites setzen, um ihrer List Glaubwürdigkeit zu verleihen.
Trail of Bits war von dem Angriff unmittelbar betroffen. Der CEO des Unternehmens erhielt Nachrichten von X-Profilen (ehemals Twitter), die sich als Bloomberg-Produzenten ausgaben und vehement auf ein kurzfristiges Zoom-Interview über Kryptowährungen drängten. Bei näherer Betrachtung stellte sich heraus, dass die Zoom-Meeting-Links zu Privatkonten führten, nicht zu legitimen Unternehmenskonten. Die Angreifer weigerten sich konsequent, per E-Mail zu kommunizieren, und bestanden auf Zoom, wo sie ihren Angriff starten konnten.
Eine fehlerhafte Funktion wurde zum Angriffsvektor
Der Angriff basiert auf der Fernsteuerungsfunktion von Zoom, die für die Zusammenarbeit konzipiert ist, aber missbraucht werden kann, wenn die Benutzer nicht aufpassen. Obwohl Hosts diese Funktion auf Konto-, Gruppen- oder Benutzerebene deaktivieren können, ist sie in Unternehmenseinstellungen oft standardmäßig aktiviert. Der Berechtigungsdialog weist nicht auf eine Anfrage eines Drittanbieters hin, sodass Benutzer leicht durch eine scheinbar routinemäßige Eingabeaufforderung getäuscht werden können.
Trail of Bits warnt, dass diese Art von Angriffen besonders effektiv ist, da sie auf menschlichem Verhalten und nicht auf Softwarefehlern beruht. Viele Fachleute sind es gewohnt, Zoom-Benachrichtigungen schnell zu genehmigen, und die Angreifer nutzen diese Gewohnheit aus, um selbst die Abwehrmechanismen erfahrener Benutzer zu umgehen. Das Unternehmen zieht eine direkte Verbindung zwischen dieser Kampagne und jüngsten, viel beachteten Vorfällen wie dem 1,5 Milliarden Dollar schweren Bybit-Hack, der ebenfalls auf der Manipulation legitimer Arbeitsabläufe und nicht auf der Ausnutzung von Code-Schwachstellen beruhte.
Schutz vor der schwer fassbaren Kometenbedrohung
Die umfassendere Folge ist beunruhigend: Mit der Weiterentwicklung der Blockchain-Branche konzentrieren sich Angreifer zunehmend von technischen Angriffen auf menschliche Schwachstellen. Betriebssicherheit – der Schutz der Prozesse und Entscheidungen der Nutzer – ist genauso wichtig geworden wie der Schutz vor Softwarefehlern.
Trail of Bits reagierte darauf mit drastischen Maßnahmen: Die Fernsteuerungsfunktion von Zoom wurde deaktiviert und die Zugriffsberechtigungen blockiert, die solche Angriffe ermöglichen, ohne die normale Nutzung von Videokonferenzen zu beeinträchtigen. Sie fordern Organisationen und Einzelpersonen im Krypto-Sektor dringend auf, dasselbe zu tun, ihre Zoom-Einstellungen zu überprüfen und die Nutzer über die Gefahren der blinden Annahme von Bildschirmfreigabe- und Fernsteuerungsanfragen aufzuklären.
Angesichts der Millionenverluste und der ständigen Weiterentwicklung der Methoden der Angreifer ist die Botschaft klar: Behandeln Sie Videokonferenz-Tools niemals als risikofrei. Wenn Sie in der Kryptobranche handeln, investieren oder arbeiten, überlegen Sie es sich zweimal, bevor Sie unerwartete Besprechungsanfragen annehmen – und bestätigen Sie niemals eine Fernsteuerungsaufforderung, ohne sich ihrer Legitimität absolut sicher zu sein. Die Bedrohung mag wie gewohnt aussehen, aber der Einsatz war noch nie so hoch.