- Tema
88k Popularidad
42k Popularidad
14k Popularidad
4k Popularidad
5k Popularidad
29k Popularidad
16k Popularidad
22k Popularidad
13k Popularidad
3k Popularidad
- Anclado
88k Popularidad
42k Popularidad
14k Popularidad
4k Popularidad
5k Popularidad
29k Popularidad
16k Popularidad
22k Popularidad
13k Popularidad
3k Popularidad
Crisis falsa en una reunión real: análisis de la cadena de operaciones y puntos de defensa de los ataques de phishing de Zoom y Calendly
Autor: Dr. Dogo impresionante
Recientemente, la comunidad de criptomonedas ha estado sufriendo desastres de seguridad. Los atacantes utilizan Calendly para programar reuniones, enviando "enlaces de Zoom" que parecen normales, con el fin de engañar a las víctimas para que instalen un programa troyano disfrazado, e incluso obtienen control remoto de las computadoras durante la reunión. En una sola noche, todas las billeteras y cuentas de Telegram fueron robadas.
Este artículo analizará en profundidad la cadena de operación y los puntos de defensa de este tipo de ataques, y proporcionará referencias completas para facilitar su reenvío en la comunidad, la capacitación interna o el uso de autoevaluación.
El doble objetivo del atacante
Robo de activos digitales
Utilizando malware como Lumma Stealer, RedLine o IcedID, se pueden robar directamente las claves privadas y las frases semilla de carteras de navegador o de escritorio, y transferir rápidamente criptomonedas como TON, BTC, etc.
Referencia:
Blog oficial de Microsoft
Flare inteligencia de amenazas
robo de credenciales de identidad
Robar las cookies de sesión de Telegram y Google, hacerse pasar por la víctima, continuar afectando a más víctimas, formando una expansión en forma de bola de nieve.
Referencia:
Informe de análisis d01a
Cuatro pasos de la cadena de ataque
① Establecer confianza
Suplantar a inversores, medios de comunicación o podcasts, enviando invitaciones formales a reuniones a través de Calendly. Por ejemplo, en el caso "ELUSIVE COMET", los atacantes falsificaron la página de Bloomberg Crypto para llevar a cabo una estafa.
Referencia:
Blog de Trail of Bits
② Lanzar un troyano
Sitios web falsos de Zoom (no .zoom.us) dirigen a la descarga de versiones maliciosas de ZoomInstaller.exe. Varios incidentes entre 2023 y 2025 han utilizado este método para distribuir IcedID o Lumma.
Referencia:
Bitdefender
③ Toma de poder en la reunión
Los hackers cambiaron su apodo a "Zoom" en una reunión de Zoom, pidiendo a la víctima que "pruebe compartir la pantalla" mientras envían una solicitud de control remoto. Una vez que la víctima hace clic en "permitir", es totalmente invadida.
Referencia:
Ayuda a la Seguridad de la Red
DarkReading
④ Difusión y retirada de efectivo
El malware sube las claves privadas, retira fondos inmediatamente o se queda oculto durante varios días para robar la identidad de otros en Telegram. RedLine está diseñado específicamente para el directorio tdata de Telegram.
Referencia:
Informe de análisis d01a
Tres pasos de primeros auxilios después del hecho
dispositivo de aislamiento inmediato
Desconectar el cable de red, apagar el Wi-Fi, iniciar desde un USB limpio y escanear; si se encuentra RedLine/Lumma, se recomienda formatear el disco y reinstalar completamente.
Eliminar todas las sesiones
Transferir criptomonedas a una nueva billetera de hardware; cerrar sesión en todos los dispositivos de Telegram y habilitar la verificación en dos pasos; cambiar todas las contraseñas de correo electrónico y de intercambio.
Monitoreo sincronizado de blockchain y exchanges
Si encuentras una transferencia anormal, comunícate inmediatamente con el exchange para solicitar que se congele la dirección sospechosa.
Las seis leyes de defensa a largo plazo
Dispositivos de reunión independientes: las reuniones extrañas solo utilizan un portátil o teléfono móvil de respaldo sin clave privada.
Descarga de fuentes oficiales: Softwares como Zoom y AnyDesk deben descargarse desde el sitio web del fabricante; se recomienda desactivar "abrir automáticamente después de descargar" en macOS.
Verifique estrictamente la URL: el enlace de la reunión debe ser .zoom.us; la URL personalizada de Zoom también sigue esta norma (guía oficial
Principio de los tres no: no usar trampas, no dar acceso remoto, no mostrar Seed / clave privada.
Separación de billetera fría y caliente: los activos principales se almacenan en una billetera fría con PIN + frase de contraseña; la billetera caliente solo contiene una pequeña cantidad.
Habilitar 2FA en toda la cuenta: activar la verificación en dos pasos en Telegram, Email, GitHub y en el intercambio.
Conclusión: el verdadero peligro de las reuniones falsas
Los hackers modernos no dependen de vulnerabilidades de día cero, sino que son hábiles en la actuación. Diseñan reuniones de Zoom que "se ven normales" y esperan tu error.
Siempre que adquieras el hábito de: aislar dispositivos, recurrir a fuentes oficiales y realizar múltiples verificaciones, estos métodos ya no tendrán espacio para actuar. Que cada usuario en la cadena pueda mantenerse alejado de las trampas de ingeniería social y proteger su tesorería e identidad.