当在线会议成为攻击向量

Zoom和Calendly基础的社会工程攻击的全面分析

在最近几个月，加密货币社区经历了一波网络安全漏洞的激增。攻击者通过安排会议来@Calendly""> @Calendly 并发送看似合法的@Zoom""> @Zoom链接—仅仅是为了欺骗受害者安装木马应用程序。在许多情况下，黑客在会议期间获得受害者设备的远程控制。几分钟内，钱包被清空，@Telegram""> @Telegram 账户被劫持。

本文剖析了整个攻击链，分享了可行的防御策略，并包括供社区转发、内部安全培训或个人意识的参考。

攻击者的双重动机

1. 数字资产盗窃

黑客使用Lumma Stealer、RedLine或IcedID等恶意软件从基于浏览器或桌面的钱包中提取私钥和助记词，并立即转移 #TON, #BTC, 以及其他资产。

来源：微软安全博客，Flare威胁情报

2. 身份劫持

来自Telegram、Google等的会话cookie被盗用以冒充受害者、引诱新目标，并触发安全漏洞的滚雪球效应。

来源： d01a 技术报告

四阶段攻击链

① 建立信任
攻击者冒充投资者、媒体或播客主持人，发送正式的Calendly邀请。在一起被称为“ELUSIVE COMET”的案例中，攻击者模仿了彭博社的Crypto网站以增强可信度。

来源：Trail of Bits 博客

② 特洛伊木马部署
受害者被引导到假冒的 Zoom 网站（非 *.zoom.us）下载恶意的 ZoomInstaller.exe。这是 2023 到 2025 年间部署 IcedID 或 Lumma 恶意软件的常见方法。

来源: Bitdefender, Microsoft

③ 会议期间劫持
黑客在会议中将自己更名为“Zoom”，并提示受害者“测试屏幕共享”，同时发送远程访问请求。如果受害者点击“允许”，攻击者将获得完全的系统控制权。

来源：帮助网安全，黑暗阅读

④ 利用与横向传播
恶意软件上传钱包凭证以便立即提取，或在使用 Telegram 会话数据（tdata 文件夹）伪装受害者并钓鱼其他人时保持潜伏。

来源: d01a 技术报告

紧急响应：三步协议

1. 立即隔离设备
   断开互联网连接。使用干净的USB重启并扫描系统。如果检测到Lumma或RedLine，请执行完全磁盘擦除并重新安装操作系统。

2. 撤销所有会话
   将加密资产移动到新的硬件钱包中。注销所有 Telegram 会话并启用双因素身份验证 （2FA）。更改电子邮件、交易所和重要帐户的所有密码。

3. 监控区块链和交易所
   注意可疑交易，并在必要时联系交易所冻结受损地址。

长期保护的六条黄金法则

• 专用会议设备：仅在与未知联系人会议时使用没有私钥的备用笔记本电脑或手机。
• 仅限官方下载源：Zoom和AnyDesk等软件必须从其官方网站下载。在macOS上，禁用“下载后打开安全文件”。
• 严格的 URL 验证：仅接受 .zoom.us 下的会议链接。Zoom 个性化 URL 必须遵循此域名结构。
• 三不原则：不使用插件，不允许远程访问，不展示种子或私钥。
• 冷/热钱包分离：将主要资产存储在带有PIN + 密码的冷钱包中。只在热钱包中保留少量资金。
• 在各处启用双因素认证：在所有主要账户上启用双因素认证——Telegram、电子邮件、GitHub、交易所。

结论：虚假会议背后的真正危险

现代攻击者不需要零日漏洞——他们依赖于无懈可击的社会工程学。他们创建看起来完全正常的Zoom会议，并耐心等待一个错误。

通过建立习惯——使用孤立设备、验证来源和实施多层身份验证——您可以在攻击开始之前将其阻止。愿每位区块链用户远离精心设计的信任陷阱，确保他们的保管箱和身份安全。

免责声明：

1. 这篇文章转载自 [𝙳𝚛. 𝙰𝚠𝚎𝚜𝚘𝚖𝚎 𝙳𝚘𝚐𝚎]. 所有版权归原作者所有 [𝙳𝚛. 𝙰𝚠𝚎𝚜𝚘𝚖𝚎 𝙳𝚘𝚐𝚎]. 如果对此次转载有异议，请联系该Gate 学习团队，他们会及时处理。
2. 责任免责声明：本文所表达的观点和意见仅代表作者本人，不构成任何投资建议。
3. 文章的翻译工作由Gate Learn团队完成。除非另有说明，复制、分发或抄袭翻译后的文章是被禁止的。