NFTプラットフォーム「Emblem Vault」のCEOが、悪質な脅威アクター「ELUSIVE COMET」によって個人資産10万ドル以上を盗まれたとして、ビデオ会議アプリ「Zoom」の使用に警戒するようXユーザーに呼びかけている。
4月11日、Emblem VaultのCEOでポッドキャスター、NFTコレクターでもあるジェイク・ギャレン氏はX上で、自身のコンピューターが完全に侵害され、複数のウォレットからビットコイン(BTC)やイーサ(ETH)が盗まれたと報告した。「残念ながら、購入したデジタル資産10万ドル以上を失う結果となった」と述べた。
その数日後、ギャレン氏はサイバーセキュリティ企業「The Security Alliance(SEAL)」と連携し、暗号資産ユーザーを標的とする「ELUSIVE COMET」と呼ばれる脅威アクターによる継続的な攻撃キャンペーンの調査にあたっていると明かした。
この詐欺はZoomを通じて実行され、ギャレン氏の暗号資産ウォレットが抜き取られた。
「登録者9万人超のYouTubeパーソナリティとのZoom通話中に、私のコンピューターにマルウェアがインストールされたことを突き止めた」とギャレン氏は4月14日に語った。
SEALによると、この攻撃者は「巧妙なソーシャルエンジニアリング手法を用いて、被害者にマルウェアをインストールさせ、最終的に暗号資産を盗むことを目的としている」という。この報告は3月下旬に発表された。
Source: Jake Gallen
ギャレン氏は、暗号資産マイニングプラットフォームの創業者兼CEOを名乗る、認証済みでフォロワー2万6,000人のXアカウントからコンタクトを受け、インタビューのアレンジをしたと述べている。
しかし、インタビュー中、相手の画面はオフのままで、ギャレン氏側の画面のみが表示されていたという。その通話中、ギャレン氏は「GOOPDATE」と呼ばれるマルウェアのインストールを促され、これによって認証情報が盗まれ、ウォレットへのアクセスを許してしまった。
コインテレグラフはこのXアカウントにコメントを求めている。
Zoomにおけるリモートアクセスの脅威
「この詐欺が成立するには、Zoom通話のゲストがホストによるリモートアクセスを許可する必要があるが、この機能はZoomのすべてのアカウントでデフォルトでオンになっている」とギャレン氏は述べている。
NFTコレクターのLeonidas氏もこのデフォルト設定を確認し、業界関係者にリモートアクセスを無効にするよう警告を発している。
「これを無効にしないと、Zoom通話に参加した誰もが、従業員のコンピューター全体を乗っ取れる可能性がある」と述べた。
Source: Leonidas
SEALのセキュリティ研究者Samczsun氏はコインテレグラフに対し、「Zoomでは、デフォルトで通話参加者がリモート制御をリクエストできる状態になっている。ただし、現時点では、被害者がソーシャルエンジニアリングによってアクセス許可を与える必要があると考えている」と述べた。
コインテレグラフはZoomにもコメントを求めたが、記事執筆時点では返答を得られていない。
ギャレン氏によると、ハッカーは自身のLedgerウォレットにもアクセスしていたという。ウォレットには過去3年間で数回しかログインしておらず、パスワードもデジタルで保存していなかったと主張している。
また、Xアカウントも乗っ取られ、他のユーザーをおびき寄せるためのダイレクトメッセージ送信に利用されたという。
SEALの報告では、「ELUSIVE COMET」は正規のベンチャーキャピタル企業を装う「Aureon Capital」を運営しており、「数百万ドル相当の資金を盗んだ」実績があるとされている。さらに、「綿密に構築された経歴により、ユーザーにとって重大な脅威となっている」と指摘している。
Samczsun氏は、過去に「Aureon Capital」とやり取りしたことのあるユーザーに対して、SEALのテレグラム緊急ホットラインに連絡するよう呼びかけている。
