Un grupo de actores maliciosos ha comenzado a utilizar la función de control remoto de Zoom para ejecutar ataques dirigidos al robo de criptomonedas. A través de ingeniería social y el aprovechamiento de accesos legítimos, los atacantes logran manipular los dispositivos de sus víctimas sin levantar sospechas, abriendo un nuevo frente de riesgo en la ciberseguridad tanto corporativa como personal.
La campaña atribuida al grupo Elusive Comet ha captado la atención de la comunidad de ciberseguridad por su enfoque estratégico al aprovechar la función de control remoto de Zoom. Los atacantes se enfocan en usuarios vinculados al ecosistema de financiero, utilizando herramientas legítimas de la plataforma para acceder a sus dispositivos de manera discreta.
Ingeniería social disfrazada de entrevista
El ataque comienza con una invitación falsa a una supuesta entrevista de “Bloomberg Crypto(bloombergconferences[@]gmail.com).”, enviada a través de mensajes directos en X o correo electrónico. Las cuentas utilizadas aparentan ser periodistas del medio financiero, lo que aporta credibilidad inicial a la propuesta. Posteriormente, las víctimas son dirigidas a enlaces reales de Calendly para agendar una videollamada en Zoom, lo que disminuye las sospechas por el uso de herramientas legítimas.
El truco detrás del control remoto
Durante la reunión por Zoom, el atacante inicia una sesión de compartición de pantalla y solicita control remoto. Aquí es donde entra en juego la técnica más sofisticada: renombrar su pantalla como “Zoom”, para que la notificación que ve la víctima diga “Zoom está solicitando el control remoto de su pantalla”. Este detalle psicológico induce a aceptar la solicitud, pensando que proviene directamente del sistema.
Al ser aprobada, la solicitud otorga control total sobre el equipo. En ese momento, los atacantes pueden acceder a archivos, ejecutar transferencias de criptomonedas, instalar puertas traseras o sustraer datos críticos sin generar alertas visibles.
Riesgos para entornos críticos
Uno de los aspectos más alarmantes es que esta campaña demuestra que herramientas ampliamente utilizadas y consideradas seguras pueden convertirse en vectores de ataque cuando se explotan sus funciones en contextos sociales cuidadosamente planeados.
Recomendaciones para mitigar riesgos
Dado que el ataque se basa en el uso legítimo de herramientas ampliamente adoptadas, como Zoom y Calendly, es fundamental reforzar la conciencia y los controles dentro de los entornos que gestionan activos digitales. A continuación, algunas medidas clave:
- Verificar la legitimidad de las invitaciones: Ante cualquier propuesta de entrevista o reunión inesperada, especialmente si proviene de redes sociales o correos no corporativos, se recomienda confirmar directamente con la entidad supuestamente emisora antes de participar.
- Prestar atención a las solicitudes durante las videollamadas: Las notificaciones de control remoto deben evaluarse con detenimiento. No aprobar solicitudes que parezcan provenir de la propia aplicación sin una razón clara.
- Configurar restricciones de seguridad a nivel de sistema: Para ambientes que requieren un alto nivel de protección, se sugiere aplicar perfiles de control de políticas de privacidad (PPPC) que bloqueen el acceso remoto a funciones críticas como accesibilidad y control de pantalla.
- Utilizar versiones web o alternativas seguras: En entornos altamente sensibles, es recomendable optar por versiones de navegador de herramientas de videollamadas o soluciones con mayor capacidad de auditoría.
- Fortalecer la configuración de Zoom en entornos críticos: Para organizaciones que gestionan datos sensibles o activos digitales, es recomendable revisar las configuraciones de seguridad de Zoom, asegurando que solo se habiliten funciones como el control remoto cuando sea estrictamente necesario.
