作者:@drawesomedoge
近期加密货币社区频频传出安全灾难。攻击者通过 Calendly 安排会议,发送看似正常的「Zoom 链接」,诱导受害者安装伪装的木马程序,甚至在会议中获得电脑的远程控制权。一夜之间,钱包和 Telegram 账号被完全夺取。
本文将全面解析此类攻击的运作链与防御要点,并附上完整参考资料,便于社区转发、内部培训或自我检查使用。
攻击者的双重目标
- 盗取数字资产:利用 Lumma Stealer、RedLine 或 IcedID 等恶意程序,直接窃取浏览器或桌面钱包中的私钥和助记词,将 TON、BTC 等加密货币迅速转出。
- 窃取身份凭证:窃取 Telegram、Google 的 Session Cookie,伪装成受害者继续接触更多对象,形成雪球式扩散。
攻击链四步走
① 铺陈信任
冒充投资人、媒体或播客主持人,通过 Calendly 发送正式会议邀请。例如「ELUSIVE COMET」案例中,攻击者伪装 Bloomberg Crypto 页面进行钓鱼。
② 投放木马
伪造 Zoom 链接(非 .zoom.us 结尾)引导用户下载恶意版本的 ZoomInstaller.exe。2023–2025 年多起事件都通过此方式植入 IcedID 或 Lumma 木马。
③ 会议中夺权
黑客在 Zoom 会议中将昵称改为「Zoom」,请求受害者「测试共享画面」,并同时发送远程控制请求。一旦点击「允许」,设备即被完全接管。
④ 扩散与套现
恶意程序将私钥上传后立即提币,或潜伏数日再伪装 Telegram 身份继续钓鱼他人。RedLine 特别针对 Telegram 的 tdata 目录开发定向功能。
事后急救三步骤
- 立即隔离设备:拔网线、关闭 Wi-Fi,使用干净的 USB 启动设备并全盘扫描;如发现 RedLine/Lumma,建议全盘格式化重装系统。
- 撤销所有 Session:将加密资产转移至新的硬件钱包;Telegram 登出所有设备并启用双重验证;更换邮箱、交易所等所有密码。
- 同步监控链上与交易所动态:发现可疑转账时,立即联系交易所请求冻结相关地址。
长期防御六铁律
- 独立会议设备:陌生会议只用不存私钥的备用笔记本或手机。
- 只从官网下载软件:Zoom、AnyDesk 等工具必须从官网下载;macOS 建议关闭「下载后自动打开」功能。
- 严格核查网址:会议链接必须以 .zoom.us 结尾;Zoom Vanity URL 也必须符合规范。
- 三不原则:不装插件、不给远程、不展示助记词或私钥。
- 冷热钱包分离:主资产使用冷钱包,并设置 PIN 和 Passphrase;热钱包仅保留小额资金。
- 全账户开启 2FA:Telegram、邮箱、GitHub、交易所等全部启用双重验证。
结语:假会议的真风险
现代黑客不依赖 0-day 漏洞,而是擅长表演。他们设计「看起来很正常」的 Zoom 会议,等你一个失误。
只要你养成好习惯:隔离设备、只从官网下载、多重验证,这类攻击就很难得逞。愿每一位链上用户都能远离社交工程陷阱,守住自己的金库与身份。
阅读原文
