作者:𝙳𝚛. 𝙰𝚠𝚎𝚜𝚘𝚖𝚎 𝙳𝚘𝚐𝚎
近来加密货币社群频传资安灾难。攻击者透过 Calendly 排程会议,发送看似正常的“Zoom 链接”,引诱受害者安装伪装的木马程式,甚至在会议中取得电脑远端控制权。一夕之间,钱包与 Telegram 帐号全数被夺。
本篇将全面解析此类攻击的运作链与防御要点,并附上完整参考资料,方便社群转贴、内部培训或自我检查使用。
利用 Lumma Stealer、RedLine 或 IcedID 等恶意程式,直接窃取浏览器或桌面钱包中的私钥与 Seed Phrase,将 TON、BTC 等加密货币迅速转出。
参考:
Microsoft 官方部落格
Flare 威胁情报
https://flare.io/learn/resources/blog/redline-stealer-malware/
偷取 Telegram、Google 的 Session Cookie,伪装成受害者,持续约更多受害者,形成雪球式扩散。
参考:
d01a 分析报告
https://d01a.github.io/redline/
① 铺陈信任
冒充投资人、媒体或 Podcast,透过 Calendly 寄出正式会议邀请。例如“ELUSIVE COMET”案例中,攻击者伪装 Bloomberg Crypto 页面进行诈骗。
参考:
Trail of Bits Blog
https://blog.trailofbits.com/2025/04/17/mitigating-elusive-comet-zoom-remote-control-attacks/
仿冒 Zoom 网址(非 .zoom.us)引导下载恶意版本的 ZoomInstaller.exe。2023–2025 年多起事件皆采此手法投放 IcedID 或 Lumma。
参考:
Bitdefender
https://www.bitdefender.com/en-us/blog/hotforsecurity/hackers-used-modified-zoom-installer-and-phishing-campaign-to-deploy-trojan-banker-2、Microsofthttps://blogs.microsoft.com/on-the-issues/2025/05/21/microsoft-leads-global-action-against-favored-cybercrime-tool/
骇客在 Zoom 会议中将昵称改成“Zoom”,请受害者“测试分享画面”并同时发送远端控制请求。一旦受害者点下“允许”,即遭全面入侵。
参考:
Help Net Security
https://www.helpnetsecurity.com/2025/04/18/zoom-remote-control-attack/
DarkReading
https://www.darkreading.com/remote-workforce/elusive-comet-zoom-victims
恶意程式将私钥上传,立即提币,或潜伏数日再盗用 Telegram 身份钓鱼他人。RedLine 特别针对 Telegram 的 tdata 目录设计。
参考:
d01a 分析报告
https://d01a.github.io/redline/
拔网线、关 Wi-Fi,用干净 USB 开机扫描;如发现 RedLine/Lumma,建议全碟格式化重灌。
将加密货币转移至新硬体钱包;Telegram 登出所有装置并启用二步骤验证;Email、交易所密码全部更换。
发现异常转帐时,立即联络交易所请求冻结可疑地址。
独立会议设备:陌生会议仅用没有私钥的备用笔电或手机。
官方来源下载:Zoom、AnyDesk 等软体必须来自原厂网站;macOS 建议关闭“下载后自动开启”。
严格核对网址:会议连结需为 .zoom.us;Zoom Vanity URL 亦遵循此规范(官方指引 https://support.zoom.us/hc/en-us/articles/215062646-Guidelines-for-Vanity-URL-requests)。
三不原则:不装外挂、不给远端、不显示 Seed/私钥。
冷热钱包分离:主资产放冷钱包加上 PIN + Passphrase;热钱包仅留小额。
全帐号开 2FA:Telegram、Email、GitHub、交易所全面启用双重验证。
现代骇客不靠零日漏洞,而是演技精湛。他们设计“看起来很正常”的 Zoom 会议,等待你的失误。
只要你养成习惯:隔离设备、官方来源、多层验证,这些手法就不再有机可乘。愿每一位链上使用者都能远离社交工程陷阱,守住自己的金库与身份。
