Cuộc họp giả, khủng hoảng thật: Phân tích chuỗi hoạt động và điểm phòng ngừa của các cuộc tấn công lừa đảo Zoom và Calendly

Tác giả: Tiến sĩ. Doge tuyệt vời

Gần đây, cộng đồng tiền điện tử liên tục báo cáo về thảm họa an ninh. Kẻ tấn công đã sử dụng Calendly để lên lịch cuộc họp, gửi các "liên kết Zoom" có vẻ bình thường, dụ dỗ nạn nhân cài đặt phần mềm Trojan ngụy trang, thậm chí chiếm quyền điều khiển máy tính từ xa trong cuộc họp. Chỉ trong một đêm, tất cả ví và tài khoản Telegram đều bị đánh cắp.

Bài viết này sẽ phân tích toàn diện chuỗi vận hành và các điểm phòng ngừa của loại tấn công này, kèm theo tài liệu tham khảo đầy đủ, thuận tiện cho cộng đồng chia sẻ, đào tạo nội bộ hoặc tự kiểm tra.

Mục tiêu kép của kẻ tấn công

Trộm cắp tài sản số

Sử dụng các phần mềm độc hại như Lumma Stealer, RedLine hoặc IcedID, trực tiếp đánh cắp khóa riêng và Seed Phrase trong trình duyệt hoặc ví máy tính để nhanh chóng chuyển TON, BTC và các loại tiền điện tử khác ra ngoài.

Tham khảo:

Blog chính thức của Microsoft

Flare thông tin đe dọa

Đánh cắp chứng minh thư

Đánh cắp Session Cookie của Telegram, Google, giả mạo thành nạn nhân, tiếp tục tấn công thêm nhiều nạn nhân, hình thành sự lan rộng theo kiểu tuyết lăn.

Tham khảo:

báo cáo phân tích d01a

Bốn bước của chuỗi tấn công

① Trình bày niềm tin

Giả mạo nhà đầu tư, truyền thông hoặc Podcast, gửi lời mời họp chính thức thông qua Calendly. Ví dụ trong trường hợp "ELUSIVE COMET", kẻ tấn công đã giả mạo trang Bloomberg Crypto để thực hiện lừa đảo.

Tham khảo:

Blog Trail of Bits

② Phát tán mã độc

Các trang web giả mạo Zoom (không phải .zoom.us) dẫn đến việc tải xuống phiên bản độc hại của ZoomInstaller.exe. Nhiều sự kiện từ năm 2023–2025 đã sử dụng phương pháp này để phát tán IcedID hoặc Lumma.

Tham khảo:

Bitdefender

③ Cướp quyền trong cuộc họp

Tin tặc đã đổi tên thành "Zoom" trong cuộc họp Zoom, yêu cầu nạn nhân "kiểm tra chia sẻ màn hình" và đồng thời gửi yêu cầu điều khiển từ xa. Ngay khi nạn nhân nhấn "cho phép", họ sẽ bị xâm nhập toàn diện.

Tham khảo:

Giúp Bảo mật Mạng

DarkReading

④ Khuếch tán và rút tiền

Phần mềm độc hại tải lên khóa riêng, ngay lập tức rút tiền, hoặc ẩn nấp vài ngày trước khi đánh cắp danh tính Telegram của người khác. RedLine được thiết kế đặc biệt nhằm vào thư mục tdata của Telegram.

Tham khảo:

bản phân tích d01a

Ba bước sơ cứu khẩn cấp sau sự cố

Thiết bị cách ly ngay lập tức

Rút dây mạng, tắt Wi-Fi, sử dụng USB sạch để khởi động quét; nếu phát hiện RedLine/Lumma, nên format lại toàn bộ và cài đặt lại.

Xóa tất cả Session

Chuyển tiền điện tử sang ví phần cứng mới; Đăng xuất khỏi tất cả các thiết bị trên Telegram và kích hoạt xác minh hai bước; Thay đổi tất cả mật khẩu email và sàn giao dịch.

Giám sát đồng thời blockchain và sàn giao dịch

Khi phát hiện giao dịch chuyển tiền bất thường, hãy ngay lập tức liên hệ với sàn giao dịch để yêu cầu đóng băng địa chỉ nghi ngờ.

Lý thuyết phòng thủ dài hạn sáu quy tắc sắt

Thiết bị họp độc lập: Cuộc họp lạ chỉ sử dụng máy tính xách tay hoặc điện thoại di động dự phòng không có khóa riêng.

Nguồn chính thức tải xuống: Phần mềm như Zoom, AnyDesk phải đến từ trang web chính thức; macOS khuyên bạn nên tắt "Mở tự động sau khi tải xuống".

Kiểm tra kỹ lưỡng địa chỉ trang web: Liên kết cuộc họp phải là .zoom.us; URL Vanity của Zoom cũng tuân theo quy định này (hướng dẫn chính thức

Ba không nguyên tắc: không cài đặt phần mềm gian lận, không cung cấp từ xa, không hiển thị Seed/khóa riêng.

Tách biệt ví nóng và ví lạnh: Tài sản chính để trong ví lạnh kèm theo PIN + Passphrase; ví nóng chỉ để lại một số tiền nhỏ.

Mở 2FA cho toàn bộ tài khoản: Kích hoạt xác thực hai yếu tố trên Telegram, Email, GitHub và sàn giao dịch.

Kết luận: Mối nguy thật sự từ cuộc họp giả

Các hacker hiện đại không dựa vào lỗ hổng zero-day, mà là kỹ năng diễn xuất tinh vi. Họ thiết kế các cuộc họp Zoom "trông có vẻ bình thường", chờ đợi sai lầm của bạn.

Chỉ cần bạn hình thành thói quen: cách ly thiết bị, nguồn chính thức, xác minh nhiều lớp, những thủ đoạn này sẽ không còn cơ hội. Mong rằng mỗi người dùng trên chuỗi đều có thể tránh xa cạm bẫy kỹ thuật xã hội, bảo vệ kho báu và danh tính của mình.