本文源自 @drawesomedoge 所著文章,由 wublockchain 整理、編譯及撰稿。
(前情提要:Google Cloud警告:北韓IT間諜攻擊擴大,全球企業應警惕 )
(背景補充:微軟警告新惡意木馬程式:鎖定攻擊OKX、Metamask等20種主流Web3錢包 )
近期加密貨幣社群頻頻傳出安全災難。攻擊者通過 Calendly 安排會議,傳送看似正常的「Zoom 連結」,誘導受害者安裝偽裝的木馬程式,甚至在會議中獲得電腦的遠端控制權。一夜之間,錢包和 Telegram 帳號被完全奪取。
本文將全面解析此類攻擊的運作鏈與防禦要點,並附上完整參考資料,便於社群轉發、內部培訓或自我檢查使用。
攻擊者的雙重目標
- 盜取數位資產:利用 Lumma Stealer、RedLine 或 IcedID 等惡意程式,直接竊取瀏覽器或桌面錢包中的私鑰和助記詞,將 TON、BTC 等加密貨幣迅速轉出。
- 竊取身份憑證:竊取 Telegram、Google 的 Session Cookie,偽裝成受害者繼續接觸更多物件,形成雪球式擴散。
攻擊鏈四步走
① 鋪陳信任
冒充投資人、媒體或Podcast主持人,通過 Calendly 傳送正式會議邀請。例如「ELUSIVE COMET」案例中,攻擊者偽裝 Bloomberg Crypto 頁面進行釣魚。
② 投放木馬
偽造 Zoom 連結(非 .zoom.us 結尾)引導使用者下載惡意版本的 ZoomInstaller.exe。2023–2025 年多起事件都通過此方式植入 IcedID 或 Lumma 木馬。
③ 會議中奪權
駭客在 Zoom 會議中將暱稱改為「Zoom」,請求受害者「測試共享畫面」,並同時傳送遠端控制請求。一旦點選「允許」,裝置即被完全接管。
④ 擴散與套現
惡意程式將私鑰上傳後立即提幣,或潛伏數日再偽裝 Telegram 身份繼續釣魚他人。RedLine 特別針對 Telegram 的 tdata 目錄開發定向功能。
事後急救三步驟
- 立即隔離裝置:拔網線、關閉 Wi-Fi,使用乾淨的 USB 啟動裝置並全盤掃描;如發現 RedLine/Lumma,建議全盤格式化重灌系統。
- 撤銷所有 Session:將加密資產轉移至新的硬體錢包;Telegram 登出所有裝置並啟用雙重驗證;更換郵箱、交易所等所有密碼。
- 同步監控鏈上與交易所動態:發現可疑轉帳時,立即聯絡交易所請求凍結相關地址。
長期防禦六鐵律
- 獨立會議裝置:陌生會議只用不存私鑰的備用筆記本或手機。
- 只從官網下載軟體:Zoom、AnyDesk 等工具必須從官網下載macOS 建議關閉「下載後自動開啟」功能。
- 嚴格核查網址:會議連結必須以 .zoom.us 結尾;Zoom Vanity URL 也必須符合規範。
- 三不原則:不裝外掛、不給遠端、不展示助記詞或私鑰。
- 冷熱錢包分離:主資產使用冷錢包,並設定 PIN 和 Passphrase;熱錢包僅保留小額資金。
- 全帳戶開啟 2FA:Telegram、郵箱、GitHub、交易所等全部啟用雙重驗證。
結語:假會議的真風險
現代駭客不依賴 0-day 漏洞,而是擅長表演。他們設計「看起來很正常」的 Zoom 會議,等你一個失誤。
只要你養成好習慣:隔離裝置、只從官網下載、多重驗證,這類攻擊就很難得逞。願每一位鏈上使用者都能遠離社交工程陷阱,守住自己的金庫與身份。
