This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
偽会議真危機:ZoomとCalendlyフィッシング攻撃の運用チェーンと防御のポイントを解析する
著者:博士 素晴らしいドージェ
最近、暗号通貨コミュニティでは情報セキュリティ災害が頻繁に発生しています。 攻撃者はCalendlyを使用して、会議をスケジュールしたり、一見普通の「Zoomリンク」を送信したり、被害者を誘惑して偽装したトロイの木馬をインストールしたり、会議中にコンピューターのリモートコントロールを取得したりします。 一晩で、すべてのウォレットとTelegramアカウントが奪われました。
本稿では、この種の攻撃の運用チェーンと防御のポイントを包括的に解析し、コミュニティの転送、内部トレーニング、または自己チェックに便利な完全な参考資料を添付します。
攻撃者の2つの目標
デジタル資産の盗難
Lumma Stealer、RedLine、IcedIDなどのマルウェアを利用して、ブラウザやデスクトップウォレットから直接プライベートキーやシードフレーズを盗み出し、TONやBTCなどの暗号通貨を迅速に転送します。
nan:
Microsoft の公式ブログ
Flare 脅威インテリジェンス
アイデンティティ証明書の盗難
TelegramやGoogleのセッションクッキーを盗み、被害者になりすまし、さらに多くの被害者を継続的に生み出し、雪だるま式に拡散する。
nan:
D01a 解析レポート
攻撃チェーンの4つのステップ
① 信頼を築く
投資家、メディア、またはポッドキャストになりすまし、Calendlyを通じて正式な会議の招待を送信します。例えば「ELUSIVE COMET」のケースでは、攻撃者がBloomberg Cryptoのページを装って詐欺を行いました。
nan:
Trail of Bitsブログ
② トロイの木馬を投入する
偽のZoomウェブサイト(.zoom.us以外)から悪意のあるバージョンのZoomInstaller.exeをダウンロードさせる手口。2023年から2025年にかけて、IcedIDまたはLummaを配布するためにこの手法が使用された事例が多数ある。
nan:
ビットディフェンダー
(3)会議における権力の掌握
ハッカーはZoom会議でニックネームを「Zoom」に変更し、被害者に「画面共有のテスト」を行うように指示し、同時にリモートコントロールの要求を送信します。被害者が「許可」をクリックすると、完全に侵入されます。
nan:
ヘルプネットセキュリティ
ダークリーディング
④ ディフュージョンとキャッシュアウト
悪意のあるプログラムが秘密鍵をアップロードし、すぐにコインを引き出すか、数日間潜伏して他人をフィッシングするためにTelegramのアイデンティティを盗むことがあります。RedLineは特にTelegramのtdataディレクトリをターゲットに設計されています。
nan:
d01a 分析レポート
事後の緊急救助三ステップ
デバイスをすぐに隔離する
ネットケーブルを抜き、Wi-Fiを切断し、クリーンなUSBで起動してスキャンします;RedLine/Lummaが見つかった場合は、全ディスクをフォーマットして再インストールすることをお勧めします。
すべてのセッションを削除する
暗号通貨を新しいハードウェアウォレットに移動する;Telegram からすべてのデバイスをログアウトし、2段階認証を有効にする;メール、取引所のパスワードをすべて変更する。
ブロックチェーンと取引所を同期監視する
異常な送金を発見した場合は、すぐに取引所に連絡して疑わしいアドレスを凍結するよう依頼してください。
長期防衛の6つの鉄則
独立会議機器:未知の会議には秘密鍵のない予備のノートパソコンや携帯電話のみを使用してください。
公式のソースからダウンロード:Zoom、AnyDeskなどのソフトウェアは、メーカーのウェブサイトから取得する必要があります;macOSでは「ダウンロード後に自動的に開く」をオフにすることをお勧めします。
厳密にURLを確認してください:会議リンクは.zoom.usである必要があります;ZoomバニティURLもこの規範に従います(公式ガイド)
三つの禁止原則:外部ツールを使用しない、遠隔操作を行わない、シード/秘密鍵を表示しない。
コールドウォレットとホットウォレットの分離:主要な資産はコールドウォレットに保管し、PIN + パスフレーズを付加;ホットウォレットには少額のみを残す。
すべてのアカウントで2FAを開く:2要素認証は、Telegram、Email、GitHub、およびExchangesで完全に有効になっています。
結論:偽の会議の本当の危険性
現代のハッカーはゼロデイの脆弱性に頼らず、演技が非常に上手です。彼らは「普通に見える」Zoom会議を設計し、あなたのミスを待っています。
習慣を身につけるだけで:デバイスの隔離、公式な情報源、マルチファクター認証、これらの手法はもはや通用しなくなる。すべてのブロックチェーンユーザーがソーシャルエンジニアリングの罠から遠ざかり、自分の資産とアイデンティティを守れることを願っています。