Глава NFT-платформы Emblem Vault Джейк Гэллен (Jake Gallen) стал жертвой сложной схемы социальной инженерии, в результате которой лишился цифровых активов на сумму более $100 тыс. в крипте. Атака была осуществлена через Zoom и связана с группировкой ELUSIVE COMET, известной ранее по атакам на криптопользователей.
Как все произошло
11 апреля Гэллен сообщил на X, что его компьютер подвергся полной компрометации. Злоумышленники получили доступ к нескольким криптовалютным кошелькам и похитили Bitcoin и Ethereum. Гэллен объяснил, что инцидент произошел после Zoom-звонка, в котором он участвовал в качестве гостя. Инициатором встречи выступил пользователь с верифицированным аккаунтом на X и 26 тыс. подписчиков, представившийся CEO криптомайнинговой платформы.
Во время разговора злоумышленник не включал камеру, а Гэллен оставался в эфире с включенным экраном. В ходе беседы он был убежден установить вредоносное ПО под названием GOOPDATE. Программа украла данные для входа в кошельки и дала злоумышленникам доступ к хранилищам с активами.
Сложная атака через Zoom
По данным исследовательской группы SEAL (The Security Alliance), за атакой стоит ELUSIVE COMET — организованная группа, занимающаяся кражей криптовалют. Эта же группа, по данным SEAL, связана с якобы инвестиционной компанией Aureon Capital. Злоумышленники известны тем, что создают проработанные легенды и действуют через легитимные платформы, такие как Zoom, с целью заразить устройства жертв вредоносным ПО.
SEAL и исследователь Самцзсан (Samczsun) пояснили, что Zoom по умолчанию разрешает участникам встреч запрашивать удаленный доступ к устройствам других пользователей. Это можно использовать для незаметного захвата управления компьютером, если жертва подтвердит соответствующий запрос — в случае Гэллена он, как выяснилось, был активирован без его понимания.
Вредонос затронул даже аппаратные кошельки
Гэллен уточнил, что злоумышленники получили доступ даже к его Ledger-кошельку, к которому он подключился всего несколько раз за последние три года. Он не хранил пароль в цифровом виде, однако компрометация системы позволила атакующим обойти и это ограничение.
Позже его X-аккаунт также был взломан — злоумышленники попытались использовать его для рассылки личных сообщений другим пользователям и привлечения новых жертв.
Реакция сообщества и предупреждения
Коллекционер NFT Леонидас (Leonidas) подтвердил, что по умолчанию Zoom позволяет удаленный доступ, и призвал всех отключить эту функцию. Он подчеркнул, что без этого любой собеседник может получить полный контроль над компьютером другого участника.
Самцзсан также отметил, что Zoom в текущей конфигурации требует от жертвы подтверждения запроса на удаленный доступ, но с учетом высокого уровня социальной инженерии такие атаки все равно остаются крайне опасными.
SEAL призывает всех, кто взаимодействовал с Aureon Capital, немедленно обратиться в их экстренный чат в Telegram.
Данный пост носит исключительно информационный характер и не является рекламой или инвестиционным советом. Пожалуйста, проводите собственное исследование, принимая какие-либо решения.