Повний аналіз атак соціальної інженерії на основі Zoom та Calendly
Останніми місяцями криптовалютна спільнота зазнала сплеску кібербезпекових порушень. Зловмисники планують зустрічі через@Calendly""> @Calendly та надсилайте, здавалося б, легітимні@Zoom""> @Zoom посилання—лише для того, щоб обдурити жертв і змусити їх встановити троянські додатки. У багатьох випадках хакери отримують віддалений доступ до пристрою жертви під час зустрічі. Протягом кількох хвилин гаманці спорожнюються і@Telegram""> @Telegram акаунти захоплені.
Ця стаття аналізує всю ланцюг атаки, ділиться дієвими стратегіями захисту та містить посилання для повторних публікацій у спільноті, внутрішнього навчання з безпеки або особистої обізнаності.
Двоїні мотиви атакуючого
Хакери розгортають шкідливе програмне забезпечення, таке як Lumma Stealer, RedLine або IcedID, щоб витягувати приватні ключі та сімена фрази з браузерних або настільних гаманців, негайно передаючи #TON, #BTC, та інші активи.
Джерела:Блог безпеки Microsoft, Інтелект загроз Flare
Сесійні куки з Telegram, Google та інших країн викрадаються для імітації жертв, заманювання нових цілей та спровокування ефекту снігової кулі компрометації.
Джерело: d01a Технічний звіт
4-етапний ланцюг атаки
① Встановлення довіри
Зловмисники видають себе за інвесторів, ЗМІ або ведучих подкастів, надсилаючи офіційні запрошення через Calendly. У одному випадку, названому «ELUSIVE COMET», зловмисники імітували сайт Bloomberg Crypto, щоб надати достовірності.
Джерело:Блог Trail of Bits
② Розгортання Трояна
Жертви направляються на фейкові сайти Zoom (не-*.zoom.us) для завантаження шкідливого ZoomInstaller.exe. Це був поширений метод з 2023 по 2025 рік для розгортання шкідливого ПЗ IcedID або Lumma.
Джерела:Bitdefender, Microsoft
(3) Викрадення під час засідання
Хакери перейменовують себе на "Zoom" під час зустрічі та спонукають жертву "перевірити спільний доступ до екрана", одночасно надсилаючи запит на віддалений доступ. Якщо жертва натискає "Дозволити", зловмиснику надається повний контроль над системою.
Джерела:Help Net Security, Dark Reading
④ Експлуатація та бічне поширення
Зловмисне програмне забезпечення завантажує облікові дані гаманця для негайного виведення коштів або перебуває в сплячому стані під час використання даних сеансу Telegram (папка tdata), щоб видавати себе за жертв і фішити інших.
Джерело:d01a Технічний звіт
Аварійна реакція: 3-етапний протокол
Негайно ізолюйте пристрій
Відключіть інтернет. Перезавантажте за допомогою чистого USB-накопичувача та проскануйте систему. Якщо виявлено Lumma або RedLine, виконайте повне очищення диска та перевстановіть ОС.
Скасувати всі сеанси
Перемістіть криптоактиви на новий апаратний гаманець. Вийдіть з усіх сеансів Telegram і увімкніть двофакторну автентифікацію (2FA). Змініть усі паролі для електронних листів, бірж та важливих акаунтів.
Моніторьте Blockchain & Exchanges
Слідкуйте за підозрілими транзакціями та звертайтеся до бірж, щоб заморозити скомпрометовані адреси, коли це необхідно.
Шість золотих правил для довгострокового захисту
Висновок: Справжня небезпека за підробними зустрічами
Сучасні зловмисники не потребують експлуатації нульового дня — вони покладаються на бездоганне соціальне маніпулювання. Вони створюють цілком звичайні зустрічі в Zoom і терпляче чекають на єдину помилку.
Будуючи звички—використовуючи ізольовані пристрої, перевіряючи джерела та впроваджуючи багаторівневу аутентифікацію—ви можете зупинити ці атаки ще до їх початку. Нехай кожен користувач блокчейну залишиться в безпеці від пасток спроектованої довіри та зберігає свої сховища та ідентичності в безпеці.
Поділіться
Повний аналіз атак соціальної інженерії на основі Zoom та Calendly
Останніми місяцями криптовалютна спільнота зазнала сплеску кібербезпекових порушень. Зловмисники планують зустрічі через@Calendly""> @Calendly та надсилайте, здавалося б, легітимні@Zoom""> @Zoom посилання—лише для того, щоб обдурити жертв і змусити їх встановити троянські додатки. У багатьох випадках хакери отримують віддалений доступ до пристрою жертви під час зустрічі. Протягом кількох хвилин гаманці спорожнюються і@Telegram""> @Telegram акаунти захоплені.
Ця стаття аналізує всю ланцюг атаки, ділиться дієвими стратегіями захисту та містить посилання для повторних публікацій у спільноті, внутрішнього навчання з безпеки або особистої обізнаності.
Двоїні мотиви атакуючого
Хакери розгортають шкідливе програмне забезпечення, таке як Lumma Stealer, RedLine або IcedID, щоб витягувати приватні ключі та сімена фрази з браузерних або настільних гаманців, негайно передаючи #TON, #BTC, та інші активи.
Джерела:Блог безпеки Microsoft, Інтелект загроз Flare
Сесійні куки з Telegram, Google та інших країн викрадаються для імітації жертв, заманювання нових цілей та спровокування ефекту снігової кулі компрометації.
Джерело: d01a Технічний звіт
4-етапний ланцюг атаки
① Встановлення довіри
Зловмисники видають себе за інвесторів, ЗМІ або ведучих подкастів, надсилаючи офіційні запрошення через Calendly. У одному випадку, названому «ELUSIVE COMET», зловмисники імітували сайт Bloomberg Crypto, щоб надати достовірності.
Джерело:Блог Trail of Bits
② Розгортання Трояна
Жертви направляються на фейкові сайти Zoom (не-*.zoom.us) для завантаження шкідливого ZoomInstaller.exe. Це був поширений метод з 2023 по 2025 рік для розгортання шкідливого ПЗ IcedID або Lumma.
Джерела:Bitdefender, Microsoft
(3) Викрадення під час засідання
Хакери перейменовують себе на "Zoom" під час зустрічі та спонукають жертву "перевірити спільний доступ до екрана", одночасно надсилаючи запит на віддалений доступ. Якщо жертва натискає "Дозволити", зловмиснику надається повний контроль над системою.
Джерела:Help Net Security, Dark Reading
④ Експлуатація та бічне поширення
Зловмисне програмне забезпечення завантажує облікові дані гаманця для негайного виведення коштів або перебуває в сплячому стані під час використання даних сеансу Telegram (папка tdata), щоб видавати себе за жертв і фішити інших.
Джерело:d01a Технічний звіт
Аварійна реакція: 3-етапний протокол
Негайно ізолюйте пристрій
Відключіть інтернет. Перезавантажте за допомогою чистого USB-накопичувача та проскануйте систему. Якщо виявлено Lumma або RedLine, виконайте повне очищення диска та перевстановіть ОС.
Скасувати всі сеанси
Перемістіть криптоактиви на новий апаратний гаманець. Вийдіть з усіх сеансів Telegram і увімкніть двофакторну автентифікацію (2FA). Змініть усі паролі для електронних листів, бірж та важливих акаунтів.
Моніторьте Blockchain & Exchanges
Слідкуйте за підозрілими транзакціями та звертайтеся до бірж, щоб заморозити скомпрометовані адреси, коли це необхідно.
Шість золотих правил для довгострокового захисту
Висновок: Справжня небезпека за підробними зустрічами
Сучасні зловмисники не потребують експлуатації нульового дня — вони покладаються на бездоганне соціальне маніпулювання. Вони створюють цілком звичайні зустрічі в Zoom і терпляче чекають на єдину помилку.
Будуючи звички—використовуючи ізольовані пристрої, перевіряючи джерела та впроваджуючи багаторівневу аутентифікацію—ви можете зупинити ці атаки ще до їх початку. Нехай кожен користувач блокчейну залишиться в безпеці від пасток спроектованої довіри та зберігає свої сховища та ідентичності в безпеці.