Ложные встречи, настоящие кризисы: анализ цепочки атак с использованием Zoom и Calendly, а также ключевые моменты защиты

Автор: Dr. Потрясающий дож

В последнее время в криптовалютном сообществе часто происходят инциденты с безопасностью. Злоумышленники через Calendly назначают встречи, отправляя кажущиеся обычными "Zoom-ссылки", чтобы заманить жертв установить замаскированный троян, а также получить удаленный доступ к компьютеру во время встречи. В одночасье все кошельки и аккаунты в Telegram были захвачены.

В этой статье будет подробно разобрана цепочка операций и ключевые моменты защиты от таких атак, а также предоставлены полные справочные материалы для удобства перепостов в сообществе, внутреннего обучения или самопроверки.

Двойная цель атакующего

Кража цифровых активов

Используя вредоносные программы, такие как Lumma Stealer, RedLine или IcedID, напрямую похищайте приватные ключи и Seed Phrase из браузера или настенного кошелька, быстро переводя криптовалюту, такую как TON и BTC.

Ссылка:

Официальный блог Microsoft

Flare угроза разведка

Кража удостоверения личности

Кража сессионных файлов cookie Telegram и Google, выдавая себя за жертву, продолжающая привлекать больше жертв, создавая снежный ком.

Ссылка:

d01a Аналитический отчет

Четыре этапа цепочки атаки

① Развитие доверия

Выдавая себя за инвесторов, СМИ или подкаст, отправляют официальные приглашения на встречу через Calendly. Например, в случае "ELUSIVE COMET" злоумышленник подделал страницу Bloomberg Crypto для мошенничества.

Ссылка:

Блог Trail of Bits

② Запуск трояна

Поддельные веб-сайты Zoom (не .zoom.us) направляют на скачивание вредоносной версии ZoomInstaller.exe. С 2023 по 2025 год много случаев использовали этот метод для распространения IcedID или Lumma.

Ссылка:

Битдефендер

③ Захват власти на совещании

Хакер изменил никнейм на «Zoom» во время конференции Zoom и попросил жертву «проверить общий доступ к экрану», одновременно отправив запрос на удаленное управление. Как только жертва нажимает «Разрешить», она подвергается полному вторжению.

Ссылка:

Помощь в сетевой безопасности

Темное Чтение

④ Распространение и обналичивание

Вредоносное ПО загружает приватный ключ, немедленно выводит средства или несколько дней скрывается, чтобы украсть личность в Telegram для фишинга других. RedLine специально разработан для каталога tdata в Telegram.

Ссылка:

d01a Аналитический отчет

Три шага экстренной помощи после происшествия

Немедленное изоляционное устройство

Отключите сетевой кабель, выключите Wi-Fi, запустите сканирование с помощью чистой USB-флешки; если обнаружите RedLine/Lumma, рекомендуется выполнить полное форматирование и переустановку.

Удалить все сессии

Перенесите криптовалюту на новый аппаратный кошелек; Выйдите из Telegram на всех устройствах и включите двухфакторную аутентификацию; Измените все пароли к электронной почте и бирже.

Синхронный мониторинг блокчейна и биржи

При обнаружении аномальных переводов немедленно свяжитесь с биржей, чтобы запросить заморозку подозрительного адреса.

Долгосрочная защита шести железных правил

Независимое конференц-оборудование: для незнакомых конференций используйте запасной ноутбук или телефон без приватного ключа.

Официальные источники загрузки: программы такие как Zoom, AnyDesk и другие должны загружаться с официальных сайтов; для macOS рекомендуется отключить "Автоматически открывать после загрузки".

Тщательно проверьте веб-адрес: ссылка на конференцию должна быть .zoom.us; Zoom Vanity URL также соответствует этой норме (официальные рекомендации)

Три принципа: не устанавливать читы, не передавать удаленно, не показывать Seed/приватный ключ.

Разделение холодного и горячего кошелька: основные активы помещаются в холодный кошелек с PIN-кодом + фразой-паролем; в горячем кошельке оставляются только небольшие суммы.

Включение 2FA для всей учетной записи: Полная активация двухфакторной аутентификации для Telegram, Email, GitHub и биржи.

Заключение: настоящая опасность поддельных встреч

Современные хакеры не полагаются на нулевые уязвимости, а обладают выдающимися навыками. Они создают "выглядящие вполне нормально" Zoom-встречи, ожидая твоей ошибки.

Как только вы привыкнете: изолировать устройства, использовать официальные источники, многоуровневую проверку, эти методы больше не будут актуальны. Пусть каждый пользователь блокчейна сможет избежать ловушек социального инжиниринга и сохранить свои активы и личность.