假会议真危机:解析 Zoom 与 Calendly 钓鱼攻击的运作链及防御要点

Posted on 2025-05-26 17:40

作者:𝙳𝚛. 𝙰𝚠𝚎𝚜𝚘𝚖𝚎 𝙳𝚘𝚐𝚎

近来加密货币社群频传资安灾难。攻击者透过 Calendly 排程会议,发送看似正常的“Zoom 链接”,引诱受害者安装伪装的木马程式,甚至在会议中取得电脑远端控制权。一夕之间,钱包与 Telegram 帐号全数被夺。

本篇将全面解析此类攻击的运作链与防御要点,并附上完整参考资料,方便社群转贴、内部培训或自我检查使用。

攻击者的双重目标

数位资产盗取

利用 Lumma Stealer、RedLine 或 IcedID 等恶意程式,直接窃取浏览器或桌面钱包中的私钥与 Seed Phrase,将 TON、BTC 等加密货币迅速转出。

参考:

Microsoft 官方部落格

https://blogs.microsoft.com/on-the-issues/2025/05/21/microsoft-leads-global-action-against-favored-cybercrime-tool/

Flare 威胁情报

https://flare.io/learn/resources/blog/redline-stealer-malware/

身份凭证窃取

偷取 Telegram、Google 的 Session Cookie,伪装成受害者,持续约更多受害者,形成雪球式扩散。

参考:

d01a 分析报告

https://d01a.github.io/redline/

攻击链四步骤

① 铺陈信任

冒充投资人、媒体或 Podcast,透过 Calendly 寄出正式会议邀请。例如“ELUSIVE COMET”案例中,攻击者伪装 Bloomberg Crypto 页面进行诈骗。

参考:

Trail of Bits Blog

https://blog.trailofbits.com/2025/04/17/mitigating-elusive-comet-zoom-remote-control-attacks/

② 投放木马

仿冒 Zoom 网址(非 .zoom.us)引导下载恶意版本的 ZoomInstaller.exe。2023–2025 年多起事件皆采此手法投放 IcedID 或 Lumma。

参考:

Bitdefender

https://www.bitdefender.com/en-us/blog/hotforsecurity/hackers-used-modified-zoom-installer-and-phishing-campaign-to-deploy-trojan-banker-2、Microsofthttps://blogs.microsoft.com/on-the-issues/2025/05/21/microsoft-leads-global-action-against-favored-cybercrime-tool/

③ 会议中夺权

骇客在 Zoom 会议中将昵称改成“Zoom”,请受害者“测试分享画面”并同时发送远端控制请求。一旦受害者点下“允许”,即遭全面入侵。

参考:

Help Net Security

The Zoom attack you didn’t see coming

DarkReading

https://www.darkreading.com/remote-workforce/elusive-comet-zoom-victims

④ 扩散与套现

恶意程式将私钥上传,立即提币,或潜伏数日再盗用 Telegram 身份钓鱼他人。RedLine 特别针对 Telegram 的 tdata 目录设计。

参考:

d01a 分析报告

https://d01a.github.io/redline/

事后急救三步骤

立即隔离装置

拔网线、关 Wi-Fi,用干净 USB 开机扫描;如发现 RedLine/Lumma,建议全碟格式化重灌。

撤除所有 Session

将加密货币转移至新硬体钱包;Telegram 登出所有装置并启用二步骤验证;Email、交易所密码全部更换。

同步监控区块链与交易所

发现异常转帐时,立即联络交易所请求冻结可疑地址。

长期防御六铁律

独立会议设备:陌生会议仅用没有私钥的备用笔电或手机。

官方来源下载:Zoom、AnyDesk 等软体必须来自原厂网站;macOS 建议关闭“下载后自动开启”。

严格核对网址:会议连结需为 .zoom.us;Zoom Vanity URL 亦遵循此规范(官方指引 https://support.zoom.us/hc/en-us/articles/215062646-Guidelines-for-Vanity-URL-requests)。

三不原则:不装外挂、不给远端、不显示 Seed/私钥。

冷热钱包分离:主资产放冷钱包加上 PIN + Passphrase;热钱包仅留小额。

全帐号开 2FA:Telegram、Email、GitHub、交易所全面启用双重验证。

结语:假会议的真危险

现代骇客不靠零日漏洞,而是演技精湛。他们设计“看起来很正常”的 Zoom 会议,等待你的失误。

只要你养成习惯:隔离设备、官方来源、多层验证,这些手法就不再有机可乘。愿每一位链上使用者都能远离社交工程陷阱,守住自己的金库与身份。