Фальшива конференція, справжня криза: аналіз ланцюга дій фішингових атак Zoom та Calendly та ключові моменти захисту

Автор: д-р Приголомшливий Doge

Останнім часом у спільноті криптовалют часто повідомляють про катастрофи в сфері безпеки. Зловмисники через Calendly планують зустрічі, надсилаючи на перший погляд звичайні "Zoom-лінки", спокушаючи жертв встановити масковані троянські програми, а навіть під час зустрічі отримують віддалений контроль над комп'ютером. За одну ніч гаманці та облікові записи Telegram були повністю вкрадені.

Ця стаття повністю розгляне ланцюг роботи та ключові моменти захисту від таких атак, а також надасть повні довідкові матеріали для зручності репосту в спільноті, внутрішнього навчання або самоперевірки.

Подвійна мета атакуючого

Викрадення цифрових активів

Використовуючи шкідливі програми, такі як Lumma Stealer, RedLine або IcedID, безпосередньо викрасти приватні ключі та Seed Phrase з браузера або настільного гаманця, швидко перевести криптовалюту, таку як TON, BTC, тощо.

Посилання:

Офіційний блог Microsoft

Flare загроза інформації

Крадіжка ідентифікаційних даних

Викрадення сесійних кукі Telegram, Google, маскування під жертву, продовження для більшої кількості жертв, що призводить до снігової кулі.

Посилання:

d01a Аналіз звіту

Чотири кроки атаки

① Викладення довіри

Прикидаючись інвестором, ЗМІ або подкастом, надсилайте офіційні запрошення на зустріч через Calendly. Наприклад, у випадку «ELUSIVE COMET» зловмисник підробив сторінку Bloomberg Crypto для шахрайства.

Посилання:

Блог "Стежка бітів"

② Запуск трояна

Підроблені веб-адреси Zoom (не .zoom.us) спрямовують на завантаження шкідливої версії ZoomInstaller.exe. Протягом 2023–2025 років кілька випадків використовували цей метод для розповсюдження IcedID або Lumma.

Посилання:

Bitdefender

③ Захоплення влади на конференції

Злочинець змінив свій нік на «Zoom» під час конференції Zoom, попросивши жертву «перевірити спільний екран» і одночасно надіславши запит на віддалене керування. Як тільки жертва натискає «дозволити», вона піддається повному вторгненню.

Посилання:

Допомога мережевій безпеці

Темне читання

④ Дифузія та реалізація

Зловмисне програмне забезпечення завантажує приватний ключ, негайно виводить кошти або чекає кілька днів, щоб вкрасти ідентичність в Telegram для фішингу інших. RedLine спеціально розроблений для каталогу tdata в Telegram.

Посилання:

d01a аналіз звіту

Три кроки до надання допомоги після події

миттєвий ізоляційний пристрій

Витягніть кабель з мережі, вимкніть Wi-Fi, запустіть сканування з чистого USB; якщо виявлено RedLine/Lumma, рекомендується повне форматування та перевстановлення.

Видалити всі сесії

Перемістіть криптовалюту на новий апаратний гаманець; Вийдіть з усіх пристроїв Telegram і ввімкніть двоетапну перевірку; Змініть всі паролі електронної пошти та біржі.

Синхронний моніторинг блокчейну та біржі

При виявленні аномальних переказів необхідно терміново зв'язатися з біржею для замороження підозрілого адреси.

Шість залізних законів довгострокової оборони

Незалежне конференц-обладнання: для незнайомих конференцій використовуйте резервний ноутбук або телефон без приватного ключа.

Офіційне джерело для завантаження: програми, такі як Zoom, AnyDesk тощо, повинні походити з сайту виробника; для macOS рекомендується вимкнути "автоматичне відкриття після завантаження".

Суворо перевіряйте URL-адресу: посилання на конференцію повинно бути .zoom.us; Zoom Vanity URL також підлягає цій нормі (офіційні вказівки

Три принципи: не використовувати чити, не надавати доступ до віддалених пристроїв, не показувати Seed/приватний ключ.

Розділення холодного та гарячого гаманців: основні активи зберігаються в холодному гаманці з PIN + паролем; гарячий гаманець лише для невеликих сум.

Увімкнення 2FA для всього акаунту: повне використання двофакторної аутентифікації для Telegram, Email, GitHub та біржі.

Висновок: справжня небезпека фальшивих зустрічей

Сучасні хакери не покладаються на нульові вразливості, а натомість відрізняються високим мистецтвом. Вони створюють «досить нормальні» Zoom-зустрічі, чекаючи на вашу помилку.

Лише якщо ви виробите звичку: ізолювати пристрої, використовувати офіційні джерела, багаторазову перевірку, ці методи більше не матимуть жодної можливості. Нехай кожен користувач блокчейну залишиться осторонь від пасток соціальної інженерії, зберігаючи свої скарби та ідентичність.