Des pirates informatiques nord-coréens exploitent la fonctionnalité Zoom pour voler des millions de cryptomonnaies
Une nouvelle campagne de cybercriminalité inquiétante cible les traders et investisseurs en cryptomonnaies, utilisant la célèbre plateforme de visioconférence Zoom comme vecteur d'attaque. Des rapports de l'association à but non lucratif Security Alliance (SEAL) et de l'entreprise de cybersécurité Trail of Bits ont révélé une opération astucieuse orchestrée par des pirates informatiques nord-coréens, connus pour leurs attaques incessantes contre le secteur des cryptomonnaies. Cette campagne, baptisée « Elusive Comet », révèle à quel point les menaces d'ingénierie sociale sont devenues sophistiquées et comment les outils professionnels du quotidien peuvent se transformer en armes entre de mauvaises mains.
Table des matières
Appâts de phishing se faisant passer pour des opportunités commerciales
L'approche des attaquants est à la fois convaincante et subtile. Se faisant passer pour des investisseurs en capital-risque ou des animateurs de podcasts, ces pirates commencent par proposer ce qui semble être une proposition commerciale légitime. Les victimes sont souvent contactées via des liens Calendly, les invitant à planifier une réunion Zoom pour discuter d'un investissement ou d'une intervention dans un podcast. La communication initiale est conçue pour apparaître comme une opportunité plutôt qu'une menace, ce qui affaiblit les défenses de la cible et crée un sentiment d'urgence en retardant les détails de la réunion à la dernière minute.
Une fois que la victime rejoint l'appel Zoom programmé, les attaquants passent à l'action. Ils lui demandent de partager son écran – une demande courante dans les discussions professionnelles. Mais, utilisant la fonction de contrôle à distance de Zoom, les pirates demandent ensuite le contrôle de l'ordinateur de la victime. Un piège rend cette demande encore plus dangereuse : les attaquants modifient leur nom d'affichage Zoom en « Zoom », masquant ainsi la boîte de dialogue d'autorisation pour qu'elle ressemble à une notification système standard et inoffensive.
Un clic pour un compromis total
Un simple clic peut donner le contrôle total de la souris et du clavier de la victime. Les attaquants déploient rapidement des logiciels malveillants de vol d'informations ou des chevaux de Troie d'accès à distance (RAT) qui recherchent sur l'ordinateur les sessions de navigation, les mots de passe enregistrés, les phrases clés des portefeuilles cryptographiques et autres informations sensibles. Les journaux de SEAL attribuent des « millions de dollars » de fonds volés à ces tactiques, soulignant que les criminels s'appuient sur un réseau de faux profils sur les réseaux sociaux et de sites web sophistiqués pour crédibiliser leur stratagème.
Trail of Bits a été directement confronté à l'attaque. Le PDG de l'entreprise a reçu des messages de profils X (anciennement Twitter) se faisant passer pour des producteurs de Bloomberg, qui insistaient pour une interview Zoom de dernière minute sur les cryptomonnaies. En y regardant de plus près, les liens de la réunion Zoom menaient à des comptes grand public, et non à des comptes d'entreprise légitimes. Les attaquants ont systématiquement refusé de communiquer par e-mail, insistant sur Zoom, où ils pouvaient lancer leur exploit.
Une fonctionnalité défectueuse transformée en vecteur d'attaque
L'origine de l'attaque réside dans la fonctionnalité de contrôle à distance de Zoom, conçue pour le travail collaboratif, mais susceptible d'être utilisée abusivement si les utilisateurs ne sont pas vigilants. Bien que les hôtes puissent désactiver cette fonctionnalité au niveau du compte, du groupe ou de l'utilisateur, elle est souvent laissée activée par défaut dans les paramètres de l'entreprise. La boîte de dialogue d'autorisation ne comporte aucun signe distinctif indiquant une demande tierce, ce qui permet aux utilisateurs d'être facilement trompés par une invite apparemment routinière.
Trail of Bits prévient que ce type d'attaque est particulièrement efficace car il s'appuie sur le comportement humain, et non sur des bugs logiciels. De nombreux professionnels ont l'habitude d'approuver rapidement les notifications Zoom, et les attaquants exploitent cette familiarité pour contourner les défenses des utilisateurs, même expérimentés. L'entreprise établit un lien direct entre cette campagne et des incidents récents très médiatisés, comme le piratage de Bybit, d'un montant de 1,5 milliard de dollars, qui reposait également sur la manipulation de flux de travail légitimes plutôt que sur l'exploitation de vulnérabilités de code.
Protection contre la menace insaisissable des comètes
Les conséquences plus larges sont inquiétantes : à mesure que le secteur de la blockchain gagne en maturité, les attaquants se concentrent désormais sur les vulnérabilités humaines plutôt que sur les exploits techniques. La sécurité opérationnelle, c'est-à-dire la protection des processus et des décisions des utilisateurs, est devenue tout aussi importante que la défense contre les failles logicielles.
En réponse, Trail of Bits a pris des mesures énergiques, désactivant la fonction de contrôle à distance de Zoom et bloquant les autorisations d'accessibilité qui rendent ces attaques possibles, sans pour autant perturber l'utilisation normale de la visioconférence. L'organisation exhorte les organisations et les particuliers du secteur des cryptomonnaies à faire de même, en révisant leurs paramètres Zoom et en sensibilisant les utilisateurs aux dangers d'accepter aveuglément les demandes de partage d'écran et de contrôle à distance.
Alors que des millions de personnes ont déjà été perdues et que les attaquants continuent d'affiner leurs méthodes, le message est clair : ne considérez jamais les outils de visioconférence comme sans risque. Si vous tradez, investissez ou travaillez dans le secteur des cryptomonnaies, réfléchissez-y à deux fois avant d'accepter des demandes de réunion inattendues, et n'approuvez jamais une demande de contrôle à distance sans avoir la certitude absolue de sa légitimité. La menace peut sembler courante, mais les enjeux n'ont jamais été aussi élevés.