本文源自 @drawesomedoge 所着文章,由 wublockchain 整理、编译及撰稿。
(前情提要:Google Cloud警告:北韩IT间谍攻击扩大,全球企业应警惕 )
(背景补充:微软警告新恶意木马程式:锁定攻击OKX、Metamask等20种主流Web3钱包 )
本文目录
- 攻击者的双重目标
- 攻击链四步走
- 事后急救三步骤
- 长期防御六铁律
- 结语:假会议的真风险
近期加密货币社群频频传出安全灾难。攻击者通过 Calendly 安排会议,传送看似正常的「Zoom 连结」,诱导受害者安装伪装的木马程式,甚至在会议中获得电脑的远端控制权。一夜之间,钱包和 Telegram 帐号被完全夺取。
本文将全面解析此类攻击的运作链与防御要点,并附上完整参考资料,便于社群转发、内部培训或自我检查使用。
攻击者的双重目标
- 盗取数位资产:利用 Lumma Stealer、RedLine 或 IcedID 等恶意程式,直接窃取浏览器或桌面钱包中的私钥和助记词,将 TON、BTC 等加密货币迅速转出。
- 窃取身份凭证:窃取 Telegram、Google 的 Session Cookie,伪装成受害者继续接触更多物件,形成雪球式扩散。
攻击链四步走
① 铺陈信任
冒充投资人、媒体或Podcast主持人,通过 Calendly 传送正式会议邀请。例如「ELUSIVE COMET」案例中,攻击者伪装 Bloomberg Crypto 页面进行钓鱼。
② 投放木马
伪造 Zoom 连结(非 .zoom.us 结尾)引导使用者下载恶意版本的 ZoomInstaller.exe。2023–2025 年多起事件都通过此方式植入 IcedID 或 Lumma 木马。
③ 会议中夺权
骇客在 Zoom 会议中将暱称改为「Zoom」,请求受害者「测试共享画面」,并同时传送远端控制请求。一旦点选「允许」,装置即被完全接管。
④ 扩散与套现
恶意程式将私钥上传后立即提币,或潜伏数日再伪装 Telegram 身份继续钓鱼他人。RedLine 特别针对 Telegram 的 tdata 目录开发定向功能。
事后急救三步骤
- 立即隔离装置:拔网线、关闭 Wi-Fi,使用乾净的 USB 启动装置并全盘扫描;如发现 RedLine/Lumma,建议全盘格式化重灌系统。
- 撤销所有 Session:将加密资产转移至新的硬体钱包;Telegram 登出所有装置并启用双重验证;更换邮箱、交易所等所有密码。
- 同步监控链上与交易所动态:发现可疑转帐时,立即联络交易所请求冻结相关地址。
长期防御六铁律
- 独立会议装置:陌生会议只用不存私钥的备用笔记本或手机。
- 只从官网下载软体:Zoom、AnyDesk 等工具必须从官网下载macOS 建议关闭「下载后自动开启」功能。
- 严格核查网址:会议连结必须以 .zoom.us 结尾;Zoom Vanity URL 也必须符合规範。
- 三不原则:不装外挂、不给远端、不展示助记词或私钥。
- 冷热钱包分离:主资产使用冷钱包,并设定 PIN 和 Passphrase;热钱包仅保留小额资金。
- 全帐户开启 2FA:Telegram、邮箱、GitHub、交易所等全部启用双重验证。
结语:假会议的真风险
现代骇客不依赖 0-day 漏洞,而是擅长表演。他们设计「看起来很正常」的 Zoom 会议,等你一个失误。
只要你养成好习惯:隔离装置、只从官网下载、多重验证,这类攻击就很难得逞。愿每一位链上使用者都能远离社交工程陷阱,守住自己的金库与身份。
