黑客正在使用 Zoom 的远程控制功能用恶意软件感染设备

快速阅读: 据《ITProPortal》最新报道，安全专家警告称，一社交工程活动利用Zoom远程控制功能入侵受害者设备，被指为“Elusive Comet”团伙所为。该团伙通过伪造彭博采访邀请，诱导受害者使用非官方Calendly页面安排会议。攻击依赖合法服务功能，难以察觉，可能导致设备被控及数据窃取。

安全专家针对一起社交工程活动发出警告，该活动利用Zoom的远程控制功能接管受害者的设备。在《Trail of Bits》的一份报告中，研究人员将此活动归因于一个名为“Elusive Comet”的网络犯罪团伙，该团伙试图在社交媒体上攻击某公司的首席执行官。此次活动围绕滥用视频会议软件的远程控制功能展开，该功能允许参与者控制其他用户的电脑。

在一篇详细描述首席执行官与该组织交流情况的博文里，该公司表示，攻击始于邀请首席执行官参加“彭博加密”节目的采访。这些邀请通过社交媒体或电子邮件发送，使用假冒的电子邮件地址模仿记者所属的官方彭博账户。值得注意的是，公司表示，邀请是通过Calendly链接发送的，这些链接以真实性的幌子诱骗受害者。“两个独立的Twitter账户通过邀请我们的首席执行官参与‘彭博加密’系列节目而接近了我们，这一情景立即引发了警报信号，”公司在一篇博文里写道。“攻击者拒绝通过电子邮件沟通，并指示通过显然不是官方彭博财产的Calendly页面进行安排。这些操作异常，而非技术指标，揭示了攻击的本质。”

获取每日ITPro新闻简报今天注册，您将免费获得我们2025年未来焦点报告的副本——根据700多位高级管理人员的指导，这是关于人工智能、网络安全和其他IT挑战的权威指南。请接收来自其他Future品牌的消息和优惠。请代表我们值得信赖的合作伙伴或赞助商接收电子邮件。

Trail of Bits确定了与该活动相关的多个账户，并警告组织更新监控系统以包含这些新指标。其中包括：
– X：@KOanhHa
– X：@EditorStacy
– 电子邮件：bloombergconferences[@]gmail.com
– Zoom网址：https://us06web[.]zoom[.]us/j/84525670750
– Calendly网址：calendly[.]com/bloombergseries
– Calendly网址：calendly[.]com/cryptobloomberg
– Calendly网址：calendly[.]com/bloombergseries

Zoom攻击依赖用户信任
Trail of Bits警告称，由于该活动依赖于合法服务中的功能，它可能对不知情的用户构成严重风险。一旦与威胁行为者进入通话，他们会更改显示名称为“Zoom”，使请求“看起来像系统通知”。如果获得访问权限，攻击者可以控制受害者的设备以安装信息窃取恶意软件、窃取数据或盗取加密货币。

“使这次攻击特别危险的是权限对话框与其他无害的Zoom通知相似，”该公司表示。“习惯于在Zoom提示中点击‘同意’的用户可能会在没有意识到后果的情况下完全控制他们的计算机。”

一旦与威胁行为者进入通话，他们会更改显示名称为“Zoom”，使请求“看起来像系统通知”。如果获得访问权限，攻击者可以控制受害者的设备以安装信息窃取恶意软件、窃取数据或盗取加密货币。

Cofense情报经理麦克斯·加农回应了Trail of Bits对该活动的评论，指出网络犯罪分子利用合法软件已成为企业面临的一个严重问题。“恶意使用合法软件是我们今年在2025年继续看到的一个增长趋势，”他说。“在这种情况下，威胁行为者利用合法的Zoom和Calendly链接绕过安全控制。由于它们是受信任的域，其在这次攻击中的使用使得检测和阻止变得更加困难。”

Mimecast今年早些时候的分析强调了网络犯罪分子在攻击链中利用可信服务所带来的日益增长的威胁。在其最新的威胁情报报告中，该公司仅在2024年下半年就标记了超过50亿个威胁，其中“利用可信服务（LOTS）”攻击是一个令人担忧的主要原因。这种被称为“无恶意软件攻击”的方法有助于帮助网络犯罪分子规避目标组织的身份验证实践，这项研究指出。

更多来自ITPro的内容
信息窃取恶意软件：对企业的威胁是什么？
别忘了多因素身份验证疲劳，攻击者正在利用点击容忍度来诱使用户感染自己
Zoom主题的网络攻击推动了恶意软件的快速增长
主题
社会工程学

(以上内容均由Ai生成)