Underc0de

Un grupo de cibercriminales, identificado como Elusive Comet, está ejecutando una sofisticada campaña de ingeniería social dirigida a usuarios de criptomonedas, utilizando la función de control remoto de Zoom para tomar el control de dispositivos y robar datos sensibles o fondos digitales.

¿Cómo funciona el ataque de Elusive Comet?

La función de control remoto en Zoom, diseñada para compartir el control de pantalla entre participantes, ha sido manipulada por este grupo para engañar a las víctimas y obtener acceso total a sus sistemas. Según un informe de la firma de ciberseguridad Trail of Bits, esta técnica recuerda al método empleado por el grupo Lazarus en el robo de 1.500 millones de dólares en criptomonedas de Bybit en febrero de 2025.

Citar"ELUSIVE COMET replica estrategias donde los atacantes aprovechan flujos de trabajo legítimos, en lugar de vulnerabilidades técnicas, para comprometer sistemas", explica Trail of Bits.

El esquema: entrevistas falsas en Zoom

La campaña inicia con un mensaje directo en redes sociales, especialmente en X (anteriormente Twitter), o por correo electrónico, donde se invita al objetivo a una supuesta entrevista con Bloomberg Crypto. Los mensajes provienen de cuentas falsas que se hacen pasar por periodistas de Bloomberg y utilizan enlaces legítimos de Calendly y Zoom, lo que añade credibilidad al engaño.

Durante la reunión virtual, el atacante comparte pantalla e inicia una solicitud de control remoto. El truco clave es cambiar el nombre de la pantalla del atacante a "Zoom", lo que hace que la víctima reciba una alerta aparentemente legítima que dice:

"Zoom está solicitando el control remoto de su pantalla".

Si la víctima acepta, el atacante obtiene control total sobre el equipo, permitiéndole:

• Robar datos confidenciales
• Instalar malware
• Iniciar transacciones en criptomonedas
• Implantar puertas traseras persistentes

¿Por qué es tan peligroso este ataque?

El ataque aprovecha la confianza del usuario en las notificaciones de Zoom. Muchas personas están acostumbradas a aprobar solicitudes en la plataforma sin examinar cuidadosamente su origen. Esta falsa sensación de legitimidad es lo que hace que el ataque sea altamente efectivo y difícil de detectar.

Recomendaciones de seguridad

Trail of Bits ha emitido recomendaciones clave para protegerse contra esta campaña de Elusive Comet:

• Eliminar Zoom en entornos críticos: Para organizaciones que gestionan activos digitales sensibles, la mejor defensa es eliminar completamente el cliente de Zoom y utilizar versiones web más seguras o alternativas con mayores controles.
• Configurar perfiles de control de privacidad (PPPC): En sistemas macOS, es posible restringir el acceso a funciones sensibles mediante perfiles de preferencias de privacidad. Esto puede evitar que aplicaciones como Zoom accedan a funciones de accesibilidad utilizadas para el control remoto.
• Formación en ciberseguridad: Capacitar a los empleados sobre los riesgos de ingeniería social, el uso de herramientas de videollamada y el reconocimiento de enlaces maliciosos.

Fuente: https://www.bleepingcomputer.com/