Cet article est dérivé d’un article écrit par @drawesomedoge et a été compilé, compilé et écrit par wublockchain. (Avertissement Google Cloud : les attaques d’espionnage informatique nord-coréennes se développent, les entreprises mondiales doivent être vigilantes) (Supplément de contexte : Microsoft met en garde contre de nouveaux chevaux de Troie malveillants : attaques de verrouillage OKX, Metamask et 20 autres portefeuilles Web3 grand public) Récemment, il y a eu de fréquents désastres de sécurité dans la communauté des crypto-monnaies. Les attaquants planifient des réunions via Calendly, envoient des « liens Zoom » apparemment normaux, incitent les victimes à installer de faux chevaux de Troie et prennent même le contrôle à distance de l’ordinateur pendant la réunion. Du jour au lendemain, les portefeuilles et les comptes Telegram ont été complètement saisis. Cet article analysera de manière exhaustive la chaîne d’opérations et les points de défense de ces attaques, et joindra des documents de référence complets pour l’expédition communautaire, la formation interne ou l’auto-inspection. Le double objectif des attaquants : voler des actifs numériques : utiliser des programmes malveillants tels que Lumma Stealer, RedLine ou IcedID, voler directement des clés privées et des mnémoniques dans les navigateurs ou les portefeuilles de bureau, et transférer rapidement des crypto-monnaies telles que TON et BTC. Vol d’identifiants d’identité : Voler Telegram, les cookies de session de Google, faire semblant d’être des victimes pour continuer à contacter plus d’objets, formant une boule de neige. Quatre étapes de la chaîne d’attaque (1) Établissez la confiance Usurpez l’identité d’investisseurs, de médias ou d’animateurs de podcasts et envoyez des invitations officielles à des réunions via Calendly. Par exemple, dans le cas de « ELUSIVE COMET », l’attaquant a déguisé la page Bloomberg Crypto pour le phishing. (2) Supprimer des chevaux de Troie : de faux liens Zoom (et non des terminaisons .zoom.us) pour inciter les utilisateurs à télécharger une version malveillante du ZoomInstaller.exe. Plusieurs incidents en 2023-2025 ont été plantés de cette manière avec des chevaux de Troie IcedID ou Lumma. (3) Coupure de courant dans la réunion Le pirate a changé le pseudo en « Zoom » dans la réunion Zoom, a demandé à la victime de « tester l’écran partagé » et a transmis la demande de contrôle à distance en même temps. Une fois que vous avez cliqué sur « Autoriser », l’unité est complètement prise en charge. (4) Prolifération et encaissement Le programme malveillant retirera immédiatement des pièces après avoir téléchargé la clé privée, ou se cachera pendant plusieurs jours, puis se fera passer pour l’identité de Telegram pour continuer à hameçonner d’autres personnes. RedLine développe des fonctionnalités de ciblage spécifiquement pour le répertoire tdata de Telegram. Trois étapes pour secourir isolent immédiatement l’appareil : débranchez le câble réseau, désactivez le Wi-Fi, démarrez l’appareil avec une clé USB propre et scannez-le complètement ; Si RedLine/Lumma est trouvé, il est recommandé de formater complètement le système de réirrigation. Annuler toutes les sessions : transférer des actifs cryptographiques vers un nouveau portefeuille matériel ; Telegram déconnecte tous les appareils et permet une vérification en deux étapes ; Changez tous les mots de passe tels que l’adresse e-mail, l’échange, etc. Surveillance synchrone de la dynamique on-chain et d’échange : lorsque des transferts suspects sont détectés, contactez immédiatement l’échange pour demander le gel des adresses concernées. Les six lois d’airain de la défense à long terme Appareil de conférence indépendant : Les réunions étranges n’utilisent qu’un ordinateur portable ou un téléphone portable de rechange sans clé privée. Téléchargez le logiciel uniquement à partir du site officiel : Des outils tels que Zoom et AnyDesk doivent être téléchargés à partir du site officiel macOS Il est recommandé de désactiver la fonction « ouvrir automatiquement après le téléchargement ». Vérifiez strictement l’URL : le lien de la réunion doit se terminer par .zoom.us ; L’URL personnalisée de Zoom doit également être conforme aux spécifications. Principe des trois non : ne pas installer de plug-ins, ne pas donner de télécommande, ne pas afficher de mnémoniques ou de clés privées. Séparation des portefeuilles chauds et froids : l’actif principal utilise un portefeuille froid et définit un code PIN et une phrase de passe ; Les portefeuilles chauds ne conservent que de petites sommes d’argent. Activez l’authentification à deux facteurs pour tous les comptes : Telegram, e-mail, GitHub, les échanges, etc. permettent tous l’authentification à deux facteurs. Conclusion : Le risque réel des fausses réunions Les pirates informatiques modernes ne s’appuient pas sur les vulnérabilités 0-day, mais sont doués pour agir. Ils conçoivent des réunions Zoom qui « ont l’air normales » et attendent que vous fassiez une erreur. Tant que l’on prend de bonnes habitudes : dispositifs d’isolement, téléchargement uniquement depuis le site officiel, authentification multifactorielle, ce type d’attaque est très difficile à réussir. Puisse chaque utilisateur on-chain rester à l’écart du piège de l’ingénierie sociale et conserver son propre coffre-fort et sa propre identité. À lire aussi Brouillard lent : 230 millions de dollars de vol de Cetus Le gouvernement vietnamien annonce l’interdiction de Telegram : combattez le crime ! La communication cryptée n’est pas conforme à la sécurité nationale, le PoS est plus sûr ? Développeurs : Le coût de l’attaque d’Ethereum dépasse de loin les 10 milliards de dollars de Bitcoin « Fraude crypto « Attaque de faux lien de réunion » analyse complète : les six lois d’airain de la défense à long terme » Cet article a été publié pour la première fois dans « Dynamic Trend - The Most Influential Blockchain News Media ».
Voir l'original
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
Chiffrement de fraude : analyse complète de l'attaque par faux lien de réunion : six règles d'or pour une défense à long terme.
Cet article est dérivé d’un article écrit par @drawesomedoge et a été compilé, compilé et écrit par wublockchain. (Avertissement Google Cloud : les attaques d’espionnage informatique nord-coréennes se développent, les entreprises mondiales doivent être vigilantes) (Supplément de contexte : Microsoft met en garde contre de nouveaux chevaux de Troie malveillants : attaques de verrouillage OKX, Metamask et 20 autres portefeuilles Web3 grand public) Récemment, il y a eu de fréquents désastres de sécurité dans la communauté des crypto-monnaies. Les attaquants planifient des réunions via Calendly, envoient des « liens Zoom » apparemment normaux, incitent les victimes à installer de faux chevaux de Troie et prennent même le contrôle à distance de l’ordinateur pendant la réunion. Du jour au lendemain, les portefeuilles et les comptes Telegram ont été complètement saisis. Cet article analysera de manière exhaustive la chaîne d’opérations et les points de défense de ces attaques, et joindra des documents de référence complets pour l’expédition communautaire, la formation interne ou l’auto-inspection. Le double objectif des attaquants : voler des actifs numériques : utiliser des programmes malveillants tels que Lumma Stealer, RedLine ou IcedID, voler directement des clés privées et des mnémoniques dans les navigateurs ou les portefeuilles de bureau, et transférer rapidement des crypto-monnaies telles que TON et BTC. Vol d’identifiants d’identité : Voler Telegram, les cookies de session de Google, faire semblant d’être des victimes pour continuer à contacter plus d’objets, formant une boule de neige. Quatre étapes de la chaîne d’attaque (1) Établissez la confiance Usurpez l’identité d’investisseurs, de médias ou d’animateurs de podcasts et envoyez des invitations officielles à des réunions via Calendly. Par exemple, dans le cas de « ELUSIVE COMET », l’attaquant a déguisé la page Bloomberg Crypto pour le phishing. (2) Supprimer des chevaux de Troie : de faux liens Zoom (et non des terminaisons .zoom.us) pour inciter les utilisateurs à télécharger une version malveillante du ZoomInstaller.exe. Plusieurs incidents en 2023-2025 ont été plantés de cette manière avec des chevaux de Troie IcedID ou Lumma. (3) Coupure de courant dans la réunion Le pirate a changé le pseudo en « Zoom » dans la réunion Zoom, a demandé à la victime de « tester l’écran partagé » et a transmis la demande de contrôle à distance en même temps. Une fois que vous avez cliqué sur « Autoriser », l’unité est complètement prise en charge. (4) Prolifération et encaissement Le programme malveillant retirera immédiatement des pièces après avoir téléchargé la clé privée, ou se cachera pendant plusieurs jours, puis se fera passer pour l’identité de Telegram pour continuer à hameçonner d’autres personnes. RedLine développe des fonctionnalités de ciblage spécifiquement pour le répertoire tdata de Telegram. Trois étapes pour secourir isolent immédiatement l’appareil : débranchez le câble réseau, désactivez le Wi-Fi, démarrez l’appareil avec une clé USB propre et scannez-le complètement ; Si RedLine/Lumma est trouvé, il est recommandé de formater complètement le système de réirrigation. Annuler toutes les sessions : transférer des actifs cryptographiques vers un nouveau portefeuille matériel ; Telegram déconnecte tous les appareils et permet une vérification en deux étapes ; Changez tous les mots de passe tels que l’adresse e-mail, l’échange, etc. Surveillance synchrone de la dynamique on-chain et d’échange : lorsque des transferts suspects sont détectés, contactez immédiatement l’échange pour demander le gel des adresses concernées. Les six lois d’airain de la défense à long terme Appareil de conférence indépendant : Les réunions étranges n’utilisent qu’un ordinateur portable ou un téléphone portable de rechange sans clé privée. Téléchargez le logiciel uniquement à partir du site officiel : Des outils tels que Zoom et AnyDesk doivent être téléchargés à partir du site officiel macOS Il est recommandé de désactiver la fonction « ouvrir automatiquement après le téléchargement ». Vérifiez strictement l’URL : le lien de la réunion doit se terminer par .zoom.us ; L’URL personnalisée de Zoom doit également être conforme aux spécifications. Principe des trois non : ne pas installer de plug-ins, ne pas donner de télécommande, ne pas afficher de mnémoniques ou de clés privées. Séparation des portefeuilles chauds et froids : l’actif principal utilise un portefeuille froid et définit un code PIN et une phrase de passe ; Les portefeuilles chauds ne conservent que de petites sommes d’argent. Activez l’authentification à deux facteurs pour tous les comptes : Telegram, e-mail, GitHub, les échanges, etc. permettent tous l’authentification à deux facteurs. Conclusion : Le risque réel des fausses réunions Les pirates informatiques modernes ne s’appuient pas sur les vulnérabilités 0-day, mais sont doués pour agir. Ils conçoivent des réunions Zoom qui « ont l’air normales » et attendent que vous fassiez une erreur. Tant que l’on prend de bonnes habitudes : dispositifs d’isolement, téléchargement uniquement depuis le site officiel, authentification multifactorielle, ce type d’attaque est très difficile à réussir. Puisse chaque utilisateur on-chain rester à l’écart du piège de l’ingénierie sociale et conserver son propre coffre-fort et sa propre identité. À lire aussi Brouillard lent : 230 millions de dollars de vol de Cetus Le gouvernement vietnamien annonce l’interdiction de Telegram : combattez le crime ! La communication cryptée n’est pas conforme à la sécurité nationale, le PoS est plus sûr ? Développeurs : Le coût de l’attaque d’Ethereum dépasse de loin les 10 milliards de dollars de Bitcoin « Fraude crypto « Attaque de faux lien de réunion » analyse complète : les six lois d’airain de la défense à long terme » Cet article a été publié pour la première fois dans « Dynamic Trend - The Most Influential Blockchain News Media ».