Una sofisticada campaña de ataque con escurridizos cometas de actores de amenaza que usan mal las capacidades legales de control remoto de Zoom para obtener acceso no autorizado a las computadoras de las víctimas.
Los atacantes han utilizado una combinación de técnicas de manipulación de ingeniería social e interfaz para atacar a expertos en criptomonedas, llevando a millones de personas al robo de criptomonedas.
Ataques de varias etapas que explotan las redes sociales y las vulnerabilidades de zoom
La manipulación del esquivo Comet comienza con el atacante invitó a los objetivos conocidos de la entrevista, pose como organizaciones de medios legítimas, particularmente el “Crypto de Bloomberg”.
Estas invitaciones llegan a través de plataformas de redes sociales como Twitter (X) utilizando cuentas de muñecas de calcetines cuidadosamente elaboradas que imitan a los expertos en la industria legal.
El atacante rechaza las comunicaciones de correo electrónico estándar y, en cambio, dirige a la víctima a una página de reserva de calendario de aspecto aparentemente profesional.
Cuando el objetivo se combina en una llamada de zoom, el ataque explota una vulnerabilidad crítica en el diseño de la experiencia de usuario de Zoom.
Al compartir la pantalla, el atacante solicita acceso a control remoto, una función de zoom legítima, pero al mismo tiempo, cambiar el nombre de la pantalla a “Zoom” para mostrar la solicitud como una notificación del sistema.
El diálogo de permiso simplemente establece: “$ El participante solicita el control remoto de la pantalla”, creando una ambigüedad peligrosa.
“Este ataque aprovecha la similitud del diálogo de permiso con otras notificaciones inofensivas de zoom”, dice el informe del sendero de Bits.
“La gente solía hacer clic en” Aceptar “en la solicitud de zoom puede darle el control total de su computadora sin darse cuenta del significado”.
Si se otorga, el atacante tendrá un control integral sobre el sistema de la víctima, lo que permite instalar malware, eliminar los datos confidenciales o realizar transacciones de robo de criptomonedas.
La metodología refleja las técnicas utilizadas en el catastrófico truco de bibits de $ 1.5 mil millones en febrero, lo que indica el cambio a las fallas de seguridad operativa en lugar de las hazañas técnicas.
Indicadores técnicos y medidas de protección
Los investigadores de seguridad han identificado varios indicadores de compromiso (COI) relacionado con los escurridizos cometas.
Las organizaciones pueden implementar la gestión técnica para evitar la explotación de esta vulnerabilidad.
Recomendamos que implementa un perfil de control de políticas de configuración de privacidad (PPPC) que evite que Zoom solicite o reciba permisos de accesibilidad a nivel del sistema MACOS.
El script create_zoom_pppc_profile.bash crea un perfil de todo el sistema que bloquea completamente este vector de ataque.
Para la defensa activa, el script disable_zoom_accessibility.bash interfiere el marco de transparencia, consentimiento y control (TCC) de macOS para monitorear y restablecer continuamente los permisos otorgados para Zoom.
Las organizaciones que manejan la información confidencial en particular deben considerar usar el script Uninstall_Zoom.Bash para eliminar completamente el zoom y migrar a una alternativa basada en el navegador que hereda un modelo de seguridad más fuerte.
“A medida que entramos en una era de fallas de seguridad operativas, las organizaciones deben evolucionar sus actitudes defensivas para lidiar con estos vectores de ataque centrados en el ser humano”, dice el informe.
La implementación de defensas que combinan control técnico, capacitación de usuarios y conciencia de seguridad operativa se ha vuelto esencial para evitar estos ataques cada vez más sofisticados.
Informe de tendencia de malware 15,000 incidentes del equipo SOC, trimestre de 2025! -> Obtenga una copia gratis
