Phân tích đầy đủ về các cuộc tấn công kỹ thuật xã hội dựa trên Zoom và Calendly

Trong những tháng gần đây, cộng đồng tiền điện tử đã chứng kiến một làn sóng tăng vọt về các vụ vi phạm an ninh mạng. Những kẻ tấn công lên lịch các cuộc họp thông qua@Calendly""> @Calendly và gửi có vẻ hợp pháp@Zoom""> @Zoom links—chỉ để lừa nạn nhân cài đặt các ứng dụng trojan. Trong nhiều trường hợp, tin tặc chiếm quyền điều khiển từ xa thiết bị của nạn nhân trong cuộc họp. Chỉ trong vài phút, ví tiền bị làm trống và@Telegram""> Tài khoản @Telegram bị chiếm đoạt.

Bài viết này phân tích toàn bộ chuỗi tấn công, chia sẻ các chiến lược phòng thủ có thể hành động, và bao gồm các tài liệu tham khảo cho việc đăng lại trong cộng đồng, đào tạo an ninh nội bộ, hoặc nâng cao nhận thức cá nhân.

Động cơ kép của Vectơ tấn công

1. Trộm cắp Tài sản Kỹ thuật số

Tin tặc triển khai phần mềm độc hại như Lumma Stealer, RedLine hoặc IcedID để trích xuất khóa riêng và cụm từ hạt giống từ ví dựa trên trình duyệt hoặc ví máy tính để bàn, ngay lập tức chuyển giao #TON, #BTC, và các tài sản khác.

Nguồn:Blog An Ninh Microsoft, Flare Threat Intelligence

2. Đánh cắp danh tính

Cookie phiên làm việc từ Telegram, Google và những nơi khác bị đánh cắp để giả mạo nạn nhân, lừa những mục tiêu mới và kích hoạt hiệu ứng tuyết lăn của sự xâm phạm.

Nguồn:báo cáo kỹ thuật d01a

Chuỗi tấn công 4 giai đoạn

① Thiết lập niềm tin
Kẻ tấn công giả làm nhà đầu tư, truyền thông hoặc người dẫn chương trình podcast, gửi lời mời chính thức qua Calendly. Trong một trường hợp, được gọi là “ELUSIVE COMET,” kẻ tấn công đã bắt chước trang Bloomberg Crypto để tăng độ tin cậy.

Nguồn:Blog Trail of Bits

② Triển khai Trojan
Các nạn nhân bị hướng dẫn đến các trang Zoom giả (không phải *.zoom.us) để tải xuống một file ZoomInstaller.exe độc hại. Đây đã là một phương pháp phổ biến từ năm 2023 đến 2025 để triển khai malware IcedID hoặc Lumma.

Nguồn:Bitdefender, Microsoft

(3) Chiếm quyền điều khiển trong cuộc họp
Tin tặc đổi tên thành "Zoom" trong cuộc họp và yêu cầu nạn nhân "kiểm tra chia sẻ màn hình," trong khi đồng thời gửi một yêu cầu truy cập từ xa. Nếu nạn nhân nhấp vào "Cho phép," quyền kiểm soát đầy đủ hệ thống sẽ được cấp cho kẻ tấn công.

Nguồn:Help Net Security, Dark Reading

④ Khai thác và Lan tỏa bên trong
Phần mềm độc hại tải lên thông tin đăng nhập ví để rút tiền ngay lập tức hoặc nằm im trong khi sử dụng dữ liệu phiên Telegram (thư mục tdata) để mạo danh nạn nhân và lừa đảo người khác.

Nguồn:báo cáo kỹ thuật d01a

Phản ứng khẩn cấp: Giao thức 3 bước

1. Cách ly thiết bị ngay lập tức
   Ngắt kết nối khỏi internet. Khởi động lại bằng USB sạch và quét hệ thống. Nếu phát hiện Lumma hoặc RedLine, hãy thực hiện xóa toàn bộ đĩa và cài đặt lại hệ điều hành.

2. Hủy tất cả các phiên
   Chuyển tài sản tiền điện tử sang ví cứng mới. Đăng xuất khỏi tất cả các phiên Telegram và bật xác thực hai yếu tố (2FA). Thay đổi tất cả mật khẩu cho email, trao đổi và các tài khoản quan trọng.

3. Giám sát Blockchain & Sàn giao dịch
   Theo dõi các giao dịch đáng ngờ và liên hệ với các sàn giao dịch để đóng băng các địa chỉ bị xâm phạm khi cần thiết.

Sáu Quy Tắc Vàng Để Bảo Vệ Dài Hạn

• Thiết bị chuyên dụng cho các cuộc họp: Chỉ sử dụng máy tính xách tay hoặc điện thoại dự phòng không có khóa riêng cho các cuộc họp với những liên hệ không rõ.
• Chỉ nguồn tải xuống chính thức: Phần mềm như Zoom và AnyDesk phải được tải xuống từ trang web chính thức của chúng. Trên macOS, hãy vô hiệu hóa "Mở tệp an toàn sau khi tải xuống."
• Xác minh URL nghiêm ngặt: Chỉ chấp nhận các liên kết cuộc họp dưới .zoom.us. Các URL đẹp của Zoom phải tuân theo cấu trúc miền này.
• Quy tắc ba không: Không plugin, không truy cập từ xa, không hiển thị hạt giống hoặc khóa riêng.
• Phân tách Ví Lạnh/Ví Nóng: Lưu trữ tài sản lớn trong ví lạnh với mã PIN + cụm từ bí mật. Chỉ giữ một lượng nhỏ trong ví nóng.
• Xác thực hai yếu tố ở mọi nơi: Bật xác thực hai yếu tố trên tất cả các tài khoản chính—Telegram, email, GitHub, sàn giao dịch.

Kết luận: Mối nguy thực sự đằng sau các cuộc họp giả

Các kẻ tấn công hiện đại không cần các lỗ hổng zero-day - họ dựa vào kỹ thuật xã hội hoàn hảo. Họ tạo ra các cuộc họp Zoom trông hoàn toàn bình thường và kiên nhẫn chờ đợi một sai lầm duy nhất.

Bằng cách xây dựng thói quen—sử dụng các thiết bị tách biệt, xác minh nguồn gốc và thực thi xác thực nhiều lớp—bạn có thể ngăn chặn những cuộc tấn công này trước khi chúng bắt đầu. Mong rằng mọi người dùng blockchain sẽ an toàn trước những cạm bẫy của lòng tin được thiết kế và giữ cho kho lưu trữ cũng như danh tính của họ được bảo mật.

Miễn trừ trách nhiệm：

1. Bài viết này được đăng lại từ [𝙳𝚛. 𝙰𝚠𝚎𝚜𝚘𝚖𝚎 𝙳𝚘𝚐𝚎]. Tất cả quyền tác giả thuộc về tác giả gốc [𝙳𝚛. 𝙰𝚠𝚎𝚜𝚘𝚖𝚎 𝙳𝚘𝚐𝚎]. Nếu có ý kiến phản đối về việc tái bản này, vui lòng liên hệ với Gate Learn đội ngũ, và họ sẽ xử lý nó một cách nhanh chóng.
2. Tuyên bố miễn trách nhiệm: Quan điểm và ý kiến được nêu trong bài viết này hoàn toàn là của tác giả và không cấu thành bất kỳ lời khuyên đầu tư nào.
3. Các bản dịch của bài viết sang các ngôn ngữ khác được thực hiện bởi đội ngũ Gate Learn. Trừ khi có đề cập, việc sao chép, phân phối hoặc đạo văn các bài viết đã được dịch là bị cấm.