Faux réunions, vraie crise : analyse de la chaîne d'opération et des points de défense des attaques par phishing sur Zoom et Calendly

Auteur : Dr. Doge génial

Récemment, il y a eu de fréquents désastres de sécurité de l’information dans la communauté des crypto-monnaies. Les attaquants utilisent Calendly pour planifier des réunions, envoyer des « liens Zoom » apparemment normaux, inciter les victimes à installer des chevaux de Troie déguisés et même prendre le contrôle à distance de l’ordinateur pendant la réunion. Du jour au lendemain, tous les portefeuilles et comptes Telegram ont été volés.

Cet article analysera en profondeur la chaîne de fonctionnement et les points de défense de ce type d'attaque, et fournira des références complètes pour faciliter le partage dans la communauté, la formation interne ou l'auto-évaluation.

Les doubles objectifs de l'attaquant

Vol d'actifs numériques

Utiliser des malwares tels que Lumma Stealer, RedLine ou IcedID pour voler directement les clés privées et les Seed Phrase dans les portefeuilles de navigateur ou de bureau, et transférer rapidement des cryptomonnaies telles que TON, BTC.

Référence :

Blog officiel de Microsoft

Flare renseignement sur les menaces

Vol de certificats d'identité

Voler les cookies de session de Telegram et de Google, se faire passer pour la victime, et continuer à cibler plus de victimes, créant ainsi un effet boule de neige.

Référence :

d01a Rapport d'analyse

Quatre étapes dans la chaîne d’attaque

① Établissement de la confiance

Se faisant passer pour des investisseurs, des médias ou des podcasts, en envoyant des invitations officielles à des réunions via Calendly. Par exemple, dans le cas "ELUSIVE COMET", l'attaquant a usurpé la page Bloomberg Crypto pour frauder.

Référence :

Blog de Trail of Bits

② Lancer un cheval de Troie

Des sites Web imitant Zoom (non .zoom.us) incitent à télécharger des versions malveillantes de ZoomInstaller.exe. De nombreux incidents entre 2023 et 2025 ont utilisé cette méthode pour diffuser IcedID ou Lumma.

Référence :

Bitdefender

③ Prendre le pouvoir lors de la réunion

Des hackers ont changé leur pseudo en "Zoom" lors d'une réunion Zoom, demandant aux victimes de "tester le partage d'écran" tout en envoyant une demande de contrôle à distance. Dès que la victime clique sur "autoriser", elle est complètement infiltrée.

Référence :

Aider la sécurité des réseaux

DarkReading

④ Diffusion et encaissement

Les logiciels malveillants téléchargent des clés privées, retirent immédiatement des fonds ou attendent plusieurs jours pour voler l'identité Telegram d'autrui. RedLine est spécialement conçu pour le répertoire tdata de Telegram.

Référence :

d01a Rapport d'analyse

Trois étapes de premiers secours après un incident

dispositif d'isolement immédiat

Débrancher le câble réseau, désactiver le Wi-Fi, démarrer avec un USB propre pour effectuer une analyse ; si RedLine/Lumma est détecté, il est conseillé de reformater complètement et de réinstaller.

Retirer toutes les sessions

Transférer des cryptomonnaies vers un nouveau portefeuille matériel ; se déconnecter de tous les appareils Telegram et activer la vérification en deux étapes ; changer tous les mots de passe d'email et d'échange.

Surveillance synchronisée de la blockchain et des échanges

En cas de transfert anormal, contactez immédiatement l'échange pour demander le gel de l'adresse suspecte.

Les six lois de défense à long terme

Équipement de réunion indépendant : la réunion inconnue n'utilise qu'un ordinateur portable ou un téléphone mobile de secours sans clé privée.

Source officiel pour le téléchargement : les logiciels tels que Zoom, AnyDesk, etc. doivent provenir des sites des fabricants ; il est conseillé de désactiver "ouvrir automatiquement après le téléchargement" sur macOS.

Vérifiez soigneusement l'URL : le lien de la réunion doit être .zoom.us ; l'URL Vanity de Zoom suit également cette norme (directive officielle

Trois principes : ne pas utiliser de cheats, ne pas donner d'accès à distance, ne pas afficher la Seed / la clé privée.

Séparation des portefeuilles froid et chaud : les actifs principaux sont placés dans un portefeuille froid avec un PIN + une phrase secrète ; le portefeuille chaud ne conserve qu'un petit montant.

Activation de la 2FA pour l'ensemble du compte : Telegram, Email, GitHub, échange activant la vérification en deux étapes.

Conclusion : le véritable danger des fausses réunions

Les hackers modernes ne dépendent pas des vulnérabilités zero-day, mais plutôt de leurs compétences d'acteurs. Ils conçoivent des réunions Zoom qui ont l'air tout à fait normales, attendant une erreur de votre part.

Il suffit que vous preniez l'habitude : isoler les appareils, utiliser des sources officielles, effectuer des vérifications multicouches, ces méthodes ne pourront plus être exploitées. Que chaque utilisateur de la blockchain puisse éviter les pièges d'ingénierie sociale et protéger son coffre et son identité.