Zoom和Calendly基礎的社會工程攻擊的全面分析

在最近幾個月，加密貨幣社區經歷了一波網路安全漏洞的激增。攻擊者通過安排會議來@Calendly""> @Calendly 並發送看似合法的@Zoom""> @Zoom連結—僅僅是爲了欺騙受害者安裝木馬應用程序。在許多情況下，黑客在會議期間獲得受害者設備的遠程控制。幾分鍾內，錢包被清空，@Telegram""> @Telegram 帳戶被劫持。

本文剖析了整個攻擊鏈，分享了可行的防御策略，並包括供社區轉發、內部安全培訓或個人意識的參考。

攻擊者的雙重動機

1. 數字資產盜竊

黑客使用Lumma Stealer、RedLine或IcedID等惡意軟件從基於瀏覽器或桌面的錢包中提取私鑰和助記詞，並立即轉移 #TON, #BTC, 以及其他資產。

來源：微軟安全博客，Flare威脅情報

2. 身分劫持

來自Telegram、Google等的會話cookie被盜用以冒充受害者、引誘新目標，並觸發安全漏洞的滾雪球效應。

來源： d01a 技術報告

四階段攻擊鏈

① 建立信任
攻擊者冒充投資者、媒體或播客主持人，發送正式的Calendly邀請。在一起被稱爲“ELUSIVE COMET”的案例中，攻擊者模仿了彭博社的Crypto網站以增強可信度。

來源：Trail of Bits 博客

② 特洛伊木馬部署
受害者被引導到假冒的 Zoom 網站（非 *.zoom.us）下載惡意的 ZoomInstaller.exe。這是 2023 到 2025 年間部署 IcedID 或 Lumma 惡意軟件的常見方法。

來源: Bitdefender, Microsoft

③ 會議期間劫持
黑客在會議中將自己更名爲“Zoom”，並提示受害者“測試屏幕共享”，同時發送遠程訪問請求。如果受害者點擊“允許”，攻擊者將獲得完全的系統控制權。

來源：幫助網安全，黑暗閱讀

④ 利用與橫向傳播
惡意軟件上傳錢包憑證以便立即提取，或在使用 Telegram 會話數據（tdata 文件夾）僞裝受害者並釣魚其他人時保持潛伏。

來源: d01a 技術報告

緊急響應：三步協議

1. 立即隔離設備
   斷開互聯網連接。使用幹淨的USB重啓並掃描系統。如果檢測到Lumma或RedLine，請執行完全磁盤擦除並重新安裝操作系統。

2. 撤銷所有會話
   將加密資產移動到新的硬體錢包中。注銷所有 Telegram 會話並啓用雙因素身分驗證 （2FA）。更改電子郵件、交易所和重要帳戶的所有密碼。

3. 監控區塊鏈和交易所
   注意可疑交易，並在必要時聯繫交易所凍結受損地址。

長期保護的六條黃金法則

• 專用會議設備：僅在與未知聯繫人會議時使用沒有私鑰的備用筆記本電腦或手機。
• 僅限官方下載源：Zoom和AnyDesk等軟件必須從其官方網站下載。在macOS上，禁用“下載後打開安全文件”。
• 嚴格的 URL 驗證：僅接受 .zoom.us 下的會議連結。Zoom 個性化 URL 必須遵循此域名結構。
• 三不原則：不使用插件，不允許遠程訪問，不展示種子或私鑰。
• 冷/熱錢包分離：將主要資產存儲在帶有PIN + 密碼的冷錢包中。只在熱錢包中保留少量資金。
• 在各處啓用雙因素認證：在所有主要帳戶上啓用雙因素認證——Telegram、電子郵件、GitHub、交易所。

結論：虛假會議背後的真正危險

現代攻擊者不需要零日漏洞——他們依賴於無懈可擊的社會工程學。他們創建看起來完全正常的Zoom會議，並耐心等待一個錯誤。

通過建立習慣——使用孤立設備、驗證來源和實施多層身分驗證——您可以在攻擊開始之前將其阻止。願每位區塊鏈用戶遠離精心設計的信任陷阱，確保他們的保管箱和身分安全。

免責聲明：

1. 這篇文章轉載自 [𝙳𝚛. 𝙰𝚠𝚎𝚜𝚘𝚖𝚎 𝙳𝚘𝚐𝚎]. 所有版權歸原作者所有 [𝙳𝚛. 𝙰𝚠𝚎𝚜𝚘𝚖𝚎 𝙳𝚘𝚐𝚎]. 如果對此次轉載有異議，請聯繫該Gate 學習團隊，他們會及時處理。
2. 責任免責聲明：本文所表達的觀點和意見僅代表作者本人，不構成任何投資建議。
3. 文章的翻譯工作由Gate Learn團隊完成。除非另有說明，復制、分發或抄襲翻譯後的文章是被禁止的。