解析 Zoom 与 Calendly 钓鱼攻击的运作链及防御要点

13 0 0

假会议真危机。

作者：𝙳𝚛. 𝙰𝚠𝚎𝚜𝚘𝚖𝚎 𝙳𝚘𝚐𝚎

近来加密货币社群频传资安灾难。攻击者透过 Calendly 排程会议，发送看似正常的“Zoom 链接”，引诱受害者安装伪装的木马程式，甚至在会议中取得电脑远端控制权。一夕之间，钱包与 Telegram 帐号全数被夺。

本篇将全面解析此类攻击的运作链与防御要点，并附上完整参考资料，方便社群转贴、内部培训或自我检查使用。

攻击者的双重目标

利用 Lumma Stealer、RedLine 或 IcedID 等恶意程式，直接窃取浏览器或桌面钱包中的私钥与 Seed Phrase，将 TON、BTC 等加密货币迅速转出。

参考：

Microsoft 官方部落格

Flare 威胁情报

偷取 Telegram、Google 的 Session Cookie，伪装成受害者，持续约更多受害者，形成雪球式扩散。

参考：

d01a 分析报告

① 铺陈信任

冒充投资人、媒体或 Podcast，透过 Calendly 寄出正式会议邀请。例如“ELUSIVE COMET”案例中，攻击者伪装 Bloomberg Crypto 页面进行诈骗。

参考：

Trail of Bits Blog

仿冒 Zoom 网址（非 .zoom.us）引导下载恶意版本的 ZoomInstaller.exe。2023–2025 年多起事件皆采此手法投放 IcedID 或 Lumma。

参考：

Bitdefender

骇客在 Zoom 会议中将昵称改成“Zoom”，请受害者“测试分享画面”并同时发送远端控制请求。一旦受害者点下“允许”，即遭全面入侵。

参考：

Help Net Security

DarkReading

恶意程式将私钥上传，立即提币，或潜伏数日再盗用 Telegram 身份钓鱼他人。RedLine 特别针对 Telegram 的 tdata 目录设计。

参考：

d01a 分析报告

独立会议设备：陌生会议仅用没有私钥的备用笔电或手机。
官方来源下载：Zoom、AnyDesk 等软体必须来自原厂网站；macOS 建议关闭“下载后自动开启”。
严格核对网址：会议连结需为 .zoom.us；Zoom Vanity URL 亦遵循此规范（官方指引 https://support.zoom.us/hc/en-us/articles/215062646-Guidelines-for-Vanity-URL-requests）。
三不原则：不装外挂、不给远端、不显示 Seed／私钥。
冷热钱包分离：主资产放冷钱包加上 PIN + Passphrase；热钱包仅留小额。
全帐号开 2FA：Telegram、Email、GitHub、交易所全面启用双重验证。