Falsa reunião, verdadeira crise: Análise da cadeia de operações e pontos de defesa de ataques de phishing do Zoom e Calendly

Autor: Dr. Doge incrível

Recentemente, a comunidade de criptomoedas tem sido alvo de desastres de segurança. Os atacantes utilizam o Calendly para agendar reuniões, enviando "links do Zoom" que parecem normais, para induzir as vítimas a instalar programas maliciosos disfarçados, chegando até a obter controle remoto dos computadores durante as reuniões. Em uma única noite, todas as contas de carteiras e Telegram foram roubadas.

Este artigo irá analisar de forma abrangente a cadeia de funcionamento e os pontos de defesa deste tipo de ataque, e incluirá referências completas, facilitando o compartilhamento pela comunidade, formação interna ou uso para autoavaliação.

Objetivo duplo do atacante

Roubo de ativos digitais

Utilizando malware como Lumma Stealer, RedLine ou IcedID, é possível roubar diretamente as chaves privadas e a Seed Phrase de carteiras de navegador ou de desktop, transferindo rapidamente criptomoedas como TON e BTC.

Referência:

Blog oficial da Microsoft

Flare inteligência de ameaças

Roubo de credenciais de identidade

Roubar os cookies de sessão do Telegram e do Google, disfarçar-se como a vítima, e continuar a atrair mais vítimas, formando uma disseminação em forma de bola de neve.

Referência:

d01a Relatório de Análise

Quatro etapas da cadeia de ataque

① Construir confiança

Fingir ser um investidor, mídia ou Podcast, enviando convites formais para reuniões através do Calendly. Por exemplo, no caso "ELUSIVE COMET", o atacante disfarçou a página da Bloomberg Crypto para realizar fraudes.

Referência:

Blog da Trail of Bits

② Lançar um trojan

Sites falsificados do Zoom (não .zoom.us) direcionam para o download de versões maliciosas do ZoomInstaller.exe. Vários incidentes entre 2023 e 2025 utilizaram este método para lançar IcedID ou Lumma.

Referência:

Bitdefender

③ Tomada de poder na reunião

Os hackers mudaram o nome para "Zoom" na reunião do Zoom, pedindo à vítima para "testar o compartilhamento de tela" e ao mesmo tempo enviando um pedido de controle remoto. Assim que a vítima clicar em "permitir", será totalmente invadida.

Referência:

Ajuda à Segurança da Rede

DarkReading

④ Difusão e conversão em dinheiro

Malware carrega a chave privada, retira imediatamente moedas ou permanece oculto por dias para roubar a identidade no Telegram e enganar outros. O RedLine foi especialmente projetado para o diretório tdata do Telegram.

Referência:

Relatório de Análise d01a

Três passos para primeiros socorros pós-evento

Dispositivo de isolamento imediato

Desconecte o cabo da rede, desligue o Wi-Fi e inicie uma verificação com uma USB limpa; se encontrar RedLine/Lumma, recomenda-se formatar todo o disco e reinstalar.

Remover todas as sessões

Transferir criptomoedas para uma nova carteira de hardware; Sair do Telegram de todos os dispositivos e ativar a autenticação em duas etapas; Mudar todas as senhas de e-mail e da exchange.

Sincronizar monitorização da blockchain com a exchange

Ao descobrir uma transferência anormal, entre em contato imediatamente com a bolsa para solicitar o congelamento do endereço suspeito.

As seis leis de defesa a longo prazo

Equipamento de reunião independente: reuniões estranhas apenas com um laptop ou smartphone de reserva sem chave privada.

Fonte oficial para download: software como Zoom, AnyDesk, etc. deve ser adquirido a partir do site oficial; é recomendado desativar "abrir automaticamente após o download" no macOS.

Verifique cuidadosamente o URL: o link da reunião deve ser .zoom.us; o URL Vanity do Zoom também segue esta norma (diretrizes oficiais

Três princípios: não usar cheats, não fornecer acesso remoto, não exibir Seed/chaves privadas.

Separação de carteiras frias e quentes: ativos principais armazenados em carteira fria com PIN + Passphrase; carteira quente deve conter apenas um pequeno montante.

Ativar 2FA em toda a conta: Telegram, Email, GitHub e ativação da autenticação em duas etapas na exchange.

Conclusão: o verdadeiro perigo das falsas reuniões

Os hackers modernos não dependem de vulnerabilidades de dia zero, mas sim de habilidades extraordinárias. Eles projetam reuniões do Zoom que "parecem normais", à espera do seu erro.

Basta que você crie o hábito: isolar dispositivos, fontes oficiais, múltiplas verificações, e essas técnicas não terão mais como agir. Que cada usuário da blockchain consiga se afastar das armadilhas de engenharia social, protegendo seu cofre e identidade.