Полный анализ атак социального инженерства на основе Zoom и Calendly

В последние месяцы криптовалютное сообщество стало свидетелем всплеска нарушений кибербезопасности. Злоумышленники назначают встречи через@Calendly""> @Calendly и отправить, казалось бы, законные@Zoom""> @Zoom ссылки — только чтобы обмануть жертв и установить троянские приложения. Во многих случаях хакеры получают удаленный доступ к устройству жертвы во время встречи. В течение нескольких минут кошельки опустошаются и@Telegram""> @Telegram аккаунты угнаны.

Эта статья разбирает всю цепочку атак, делится практическими стратегиями защиты и включает ссылки для перепостов в сообществе, внутреннего обучения по безопасности или личной осведомленности.

Двойные мотивы атакующего

1. Кража цифровых активов

Хакеры развертывают вредоносное ПО, такое как Lumma Stealer, RedLine или IcedID, чтобы извлекать приватные ключи и сид-фразы из браузерных или десктопных кошельков, немедленно переводя #TON, #BTC, и другие активы.

Источники:Блог безопасности Microsoft, Угрозы разведки Flare

2. Угон личности

Сессионные куки из Telegram, Google и других сервисов крадутся для выдачи себя за жертв, заманивания новых целей и запуска эффекта снежного кома компрометации.

Источник: d01a Технический отчет

Цепочка атаки из 4 этапов

① Установление доверия
Злоумышленники выдают себя за инвесторов, СМИ или ведущих подкастов, отправляя официальные приглашения через Calendly. В одном случае, названном «НЕПОКОРНЫЙ КОМЕТ», злоумышленники имитировали сайт Bloomberg Crypto, чтобы повысить свою достоверность.

Источник:Блог Trail of Bits

② Развертывание трояна
Жертвам предлагают перейти на фальшивые сайты Zoom (не *.zoom.us), чтобы скачать вредоносный ZoomInstaller.exe. Это был распространенный метод с 2023 по 2025 год для развертывания вредоносного ПО IcedID или Lumma.

Источники: Bitdefender, Microsoft

③ Угон во время встречи
Хакеры переименовывают себя в «Zoom» на встрече и предлагают жертве «проверить совместное использование экрана», одновременно отправляя запрос на удаленный доступ. Если жертва нажимает «Разрешить», полный контроль над системой предоставляется атакующему.

Источники:Help Net Security, Dark Reading

④ Эксплуатация и латеральное распространение
Вредоносное ПО загружает учетные данные кошелька для немедленного вывода средств или бездействует, используя данные сеанса Telegram (папка tdata), чтобы выдавать себя за жертв и фишить других.

Источник:d01a Технический отчет

Аварийное реагирование: протокол из 3 шагов

1. Немедленно изолируйте устройство
   Отключитесь от интернета. Перезагрузите с помощью чистой флешки и просканируйте систему. Если обнаружены Lumma или RedLine, выполните полное форматирование диска и переустановите ОС.

2. Отозвать все сеансы
   Переместите криптоактивы в новый аппаратный кошелек. Выйдите из всех сессий Telegram и включите двухфакторную аутентификацию (2FA). Измените все пароли для электронной почты, обменов и важных учетных записей.

3. Мониторинг блокчейна и бирж
   Следите за подозрительными транзакциями и обращайтесь в биржи, чтобы заморозить скомпрометированные адреса, когда это необходимо.

Шесть золотых правил для долгосрочной защиты

• Устройства для встреч: Используйте только резервные ноутбуки или телефоны без приватных ключей для встреч с неизвестными контактами.
• Официальные источники загрузки только: Программное обеспечение, такое как Zoom и AnyDesk, должно загружаться с их официальных сайтов. На macOS отключите «Открывать безопасные файлы после загрузки.»
• Строгая проверка URL: Принимать только ссылки на встречи с доменом .zoom.us. Виртуальные URL Zoom должны соответствовать этой структуре домена.
• Правило трех "Нет": никаких плагинов, никакого удаленного доступа, никакого отображения семян или приватных ключей.
• Разделение холодных и горячих кошельков: Храните основные активы в холодных кошельках с PIN-кодом и парольной фразой. Держите только небольшие суммы в горячих кошельках.
• 2FA везде: Включите двухфакторную аутентификацию на всех основных аккаунтах — Telegram, электронной почте, GitHub, биржах.

Заключение: Реальная угроза за фальшивыми встречами

Современные злоумышленники не нуждаются в уязвимостях нулевого дня — они полагаются на безупречную социальную инженерию. Они создают идеально выглядящие Zoom-встречи и терпеливо ждут единственной ошибки.

Создавая привычки — используя изолированные устройства, проверяя источники и применяя многоуровневую аутентификацию — вы можете остановить эти атаки до их начала. Пусть каждый пользователь блокчейна остается в безопасности от ловушек сконструированного доверия и защищает свои хранилища и идентичности.

Отказ от ответственности：

1. Эта статья перепечатана из [𝙳𝚛. 𝙰𝚠𝚎𝚜𝚘𝚖𝚎 𝙳𝚘𝚐𝚎]. Все авторские права принадлежат оригинальному автору [𝙳𝚛. 𝙰𝚠𝚎𝚜𝚘𝚖𝚎 𝙳𝚘𝚐𝚎]. Если у вас есть возражения против этой переиздания, пожалуйста, свяжитесь с Gate Learn команда, и они займутся этим незамедлительно.
2. Отказ от ответственности: Мнения и взгляды, выраженные в этой статье, принадлежат исключительно автору и не являются инвестиционной рекомендацией.
3. Переводы статьи на другие языки выполняются командой Gate Learn. Если не указано иное, копирование, распространение или плагиат переведенных статей запрещены.