Une analyse complète des attaques d'ingénierie sociale basées sur Zoom et Calendly

Au cours des derniers mois, la communauté des cryptomonnaies a connu une augmentation des violations de la cybersécurité. Les attaquants programment des réunions via@Calendly""> @Calendly et envoyer apparemment légitime@Zoom""> @Zoom liens—uniquement pour tromper les victimes afin qu'elles installent des applications trojanisées. Dans de nombreux cas, les hackers obtiennent un contrôle à distance de l'appareil de la victime pendant la réunion. En quelques minutes, les portefeuilles sont vidés et@Telegram""> @Telegram comptes piratés.

Cet article dissèque toute la chaîne d'attaque, partage des stratégies de défense exploitables et inclut des références pour les reposts communautaires, la formation à la sécurité interne ou la sensibilisation personnelle.

Motifs doubles de l'attaquant

1. Vol d'actifs numériques

Les hackers déploient des logiciels malveillants comme Lumma Stealer, RedLine ou IcedID pour extraire des clés privées et des phrases de récupération des portefeuilles basés sur le navigateur ou de bureau, transférant immédiatement #TON, #BTC, et d'autres actifs.

Sources :Blog de sécurité Microsoft, Flare Threat Intelligence

2. Détournement d'identité

Des cookies de session de Telegram, Google et d'autres sont volés pour usurper l'identité des victimes, attirer de nouvelles cibles et déclencher un effet boule de neige de compromission.

Source : Rapport technique d01a

La chaîne d’attaque en 4 étapes

① Établir la confiance
Les attaquants se font passer pour des investisseurs, des médias ou des hôtes de podcasts, envoyant des invitations formelles via Calendly. Dans un cas, surnommé « COMÈTE ÉLUSIVE », les attaquants ont imité le site Bloomberg Crypto pour prêter crédibilité.

Source :Blog de Trail of Bits

② Déploiement de Trojan
Les victimes sont dirigées vers de faux sites Zoom (non-*.zoom.us) pour télécharger un ZoomInstaller.exe malveillant. Cela a été une méthode courante de 2023 à 2025 pour déployer des malwares IcedID ou Lumma.

Sources :Bitdefender, Microsoft

(3) Détournement pendant la réunion
Les hackers se renomme "Zoom" dans la réunion et incitent la victime à "tester le partage d'écran", tout en envoyant simultanément une demande d'accès à distance. Si la victime clique sur "Autoriser", un contrôle total du système est accordé à l'attaquant.

Sources :Help Net Security, Dark Reading

④ Exploitation et propagation latérale
Malware télécharge les identifiants de portefeuille pour un retrait immédiat ou reste inactif tout en utilisant les données de session Telegram (dossier tdata) pour usurper l'identité des victimes et pêcher d'autres.

Source:d01a Rapport Technique

Réponse d'urgence : protocole en 3 étapes

1. Isoler immédiatement le dispositif
   Déconnectez-vous d'Internet. Redémarrez en utilisant une clé USB propre et analysez le système. Si Lumma ou RedLine est détecté, effectuez un effacement complet du disque et réinstallez le système d'exploitation.

2. Révoquer toutes les sessions
   Déplacez les actifs cryptographiques vers un nouveau portefeuille matériel. Déconnectez-vous de toutes les sessions Telegram et activez l'authentification à deux facteurs (2FA). Changez tous les mots de passe pour les e-mails, les échanges et les comptes importants.

3. Surveillez la blockchain & les échanges
   Surveillez les transactions suspectes et contactez les échanges pour geler les adresses compromises si nécessaire.

Six règles d'or pour une protection à long terme

• Appareils dédiés aux réunions : N'utilisez que des ordinateurs portables ou des téléphones de secours sans clés privées pour les réunions avec des contacts inconnus.
• Sources de téléchargement officielles uniquement : Les logiciels comme Zoom et AnyDesk doivent être téléchargés à partir de leurs sites Web officiels. Sur macOS, désactivez « Ouvrir les fichiers sûrs après le téléchargement ».
• Vérification stricte des URL : Accepter uniquement les liens de réunion sous .zoom.us. Les URL personnalisées de Zoom doivent suivre cette structure de domaine.
• La Règle des Trois Non : Pas de plugins, pas d'accès à distance, pas d'affichage de graines ou de clés privées.
• Séparation des portefeuilles froids/chauds : Conservez les principaux actifs dans des portefeuilles froids avec un code PIN + phrase secrète. Gardez seulement de petites sommes dans des portefeuilles chauds.
• 2FA Partout : Activez l'authentification à deux facteurs sur tous les comptes majeurs—Telegram, email, GitHub, échanges.

Conclusion : Le véritable danger des fausses réunions

Les attaquants modernes n'ont pas besoin d'exploits zero-day : ils s'appuient sur une ingénierie sociale impeccable. Ils créent des réunions Zoom ayant un aspect parfaitement normal et attendent patiemment une seule erreur.

En créant des habitudes—en utilisant des dispositifs isolés, en vérifiant les sources et en appliquant une authentification multi-couches—vous pouvez neutraliser ces attaques avant qu'elles ne commencent. Que chaque utilisateur de blockchain reste à l'abri des pièges de la confiance artificielle et protège ses coffres et ses identités.

Avertissement :

1. Cet article est repris de [𝙳𝚛. 𝙰𝚠𝚎𝚜𝚘𝚖𝚎 𝙳𝚘𝚐𝚎]. Tous les droits d'auteur appartiennent à l'auteur original [𝙳𝚛. 𝙰𝚠𝚎𝚜𝚘𝚖𝚎 𝙳𝚘𝚐𝚎]. Si vous avez des objections à cette réimpression, veuillez contacter le Gate Learnéquipe, et ils s'en occuperont rapidement.
2. Avertissement de responsabilité : Les vues et opinions exprimées dans cet article sont uniquement celles de l'auteur et ne constituent en aucun cas des conseils d'investissement.
3. Les traductions de l'article dans d'autres langues sont réalisées par l'équipe de Gate Learn. Sauf mention contraire, la copie, la distribution ou le plagiat des articles traduits est interdit.