Повний аналіз атак соціальної інженерії на основі Zoom та Calendly

Останніми місяцями криптовалютна спільнота зазнала сплеску кібербезпекових порушень. Зловмисники планують зустрічі через@Calendly""> @Calendly та надсилайте, здавалося б, легітимні@Zoom""> @Zoom посилання—лише для того, щоб обдурити жертв і змусити їх встановити троянські додатки. У багатьох випадках хакери отримують віддалений доступ до пристрою жертви під час зустрічі. Протягом кількох хвилин гаманці спорожнюються і@Telegram""> @Telegram акаунти захоплені.

Ця стаття аналізує всю ланцюг атаки, ділиться дієвими стратегіями захисту та містить посилання для повторних публікацій у спільноті, внутрішнього навчання з безпеки або особистої обізнаності.

Двоїні мотиви атакуючого

1. Викрадення цифрових активів

Хакери розгортають шкідливе програмне забезпечення, таке як Lumma Stealer, RedLine або IcedID, щоб витягувати приватні ключі та сімена фрази з браузерних або настільних гаманців, негайно передаючи #TON, #BTC, та інші активи.

Джерела:Блог безпеки Microsoft, Інтелект загроз Flare

2. Викрадення особистості

Сесійні куки з Telegram, Google та інших країн викрадаються для імітації жертв, заманювання нових цілей та спровокування ефекту снігової кулі компрометації.

Джерело: d01a Технічний звіт

4-етапний ланцюг атаки

① Встановлення довіри
Зловмисники видають себе за інвесторів, ЗМІ або ведучих подкастів, надсилаючи офіційні запрошення через Calendly. У одному випадку, названому «ELUSIVE COMET», зловмисники імітували сайт Bloomberg Crypto, щоб надати достовірності.

Джерело:Блог Trail of Bits

② Розгортання Трояна
Жертви направляються на фейкові сайти Zoom (не-*.zoom.us) для завантаження шкідливого ZoomInstaller.exe. Це був поширений метод з 2023 по 2025 рік для розгортання шкідливого ПЗ IcedID або Lumma.

Джерела:Bitdefender, Microsoft

(3) Викрадення під час засідання
Хакери перейменовують себе на "Zoom" під час зустрічі та спонукають жертву "перевірити спільний доступ до екрана", одночасно надсилаючи запит на віддалений доступ. Якщо жертва натискає "Дозволити", зловмиснику надається повний контроль над системою.

Джерела:Help Net Security, Dark Reading

④ Експлуатація та бічне поширення
Зловмисне програмне забезпечення завантажує облікові дані гаманця для негайного виведення коштів або перебуває в сплячому стані під час використання даних сеансу Telegram (папка tdata), щоб видавати себе за жертв і фішити інших.

Джерело:d01a Технічний звіт

Аварійна реакція: 3-етапний протокол

1. Негайно ізолюйте пристрій
   Відключіть інтернет. Перезавантажте за допомогою чистого USB-накопичувача та проскануйте систему. Якщо виявлено Lumma або RedLine, виконайте повне очищення диска та перевстановіть ОС.

2. Скасувати всі сеанси
   Перемістіть криптоактиви на новий апаратний гаманець. Вийдіть з усіх сеансів Telegram і увімкніть двофакторну автентифікацію (2FA). Змініть усі паролі для електронних листів, бірж та важливих акаунтів.

3. Моніторьте Blockchain & Exchanges
   Слідкуйте за підозрілими транзакціями та звертайтеся до бірж, щоб заморозити скомпрометовані адреси, коли це необхідно.

Шість золотих правил для довгострокового захисту

• Спеціалізовані пристрої для зустрічей: Використовуйте лише резервні ноутбуки або телефони без приватних ключів для зустрічей з невідомими контактами.
• Офіційні джерела завантаження: Програмне забезпечення, таке як Zoom та AnyDesk, повинно бути завантажено з їхніх офіційних веб-сайтів. На macOS вимкніть "Відкривати безпечні файли після завантаження."
• Сувора перевірка URL: Приймайте тільки посилання на зустрічі під .zoom.us. Віртуальні URL-адреси Zoom повинні відповідати цій структурі домену.
• Правило трьох Ні: Ні плагінам, ні віддаленому доступу, ні відображенню насіння або приватних ключів.
• Розділення холодних/гарячих гаманців: Зберігайте основні активи в холодних гаманцях з PIN-кодом + парольною фразою. Тримайте лише невелику кількість у гарячих гаманцях.
• 2FA всюди: Увімкніть двофакторну аутентифікацію на всіх основних облікових записах—Telegram, електронна пошта, GitHub, біржі.

Висновок: Справжня небезпека за підробними зустрічами

Сучасні зловмисники не потребують експлуатації нульового дня — вони покладаються на бездоганне соціальне маніпулювання. Вони створюють цілком звичайні зустрічі в Zoom і терпляче чекають на єдину помилку.

Будуючи звички—використовуючи ізольовані пристрої, перевіряючи джерела та впроваджуючи багаторівневу аутентифікацію—ви можете зупинити ці атаки ще до їх початку. Нехай кожен користувач блокчейну залишиться в безпеці від пасток спроектованої довіри та зберігає свої сховища та ідентичності в безпеці.

Відмова від відповідальності:

1. Ця стаття перепублікована з [𝙳𝚛. 𝙰𝚠𝚎𝚜𝚘𝚖𝚎 𝙳𝚘𝚐𝚎]. Усі авторські права належать оригінальному автору [𝙳𝚛. 𝙰𝚠𝚎𝚜𝚘𝚖𝚎 𝙳𝚘𝚐𝚎]. Якщо є заперечення щодо цього перепечатування, будь ласка, зв’яжіться з Gate Learn команда, і вони швидко з цим впораються.
2. Відмова від відповідальності: Думки та погляди, висловлені в цій статті, є виключно думками автора і не є інвестиційною порадою.
3. Переклади статті іншими мовами виконуються командою Gate Learn. Якщо не зазначено інше, копіювання, розповсюдження або плагіат перекладених статей заборонено.