假會議真危機：解析 Zoom 與 Calendly 釣魚攻擊的運作鏈及防禦要點

作者：𝙳𝚛. 𝙰𝚠𝚎𝚜𝚘𝚖𝚎 𝙳𝚘𝚐𝚎

近來加密貨幣社羣頻傳資安災難。攻擊者透過 Calendly 排程會議，發送看似正常的“Zoom 鏈接”，引誘受害者安裝僞裝的木馬程式，甚至在會議中取得電腦遠端控制權。一夕之間，錢包與 Telegram 帳號全數被奪。

本篇將全面解析此類攻擊的運作鏈與防禦要點，並附上完整參考資料，方便社羣轉貼、內部培訓或自我檢查使用。

攻擊者的雙重目標

• 數位資產盜取

利用 Lumma Stealer、RedLine 或 IcedID 等惡意程式，直接竊取瀏覽器或桌面錢包中的私鑰與 Seed Phrase，將 TON、BTC 等加密貨幣迅速轉出。

參考：

Microsoft 官方部落格

https://blogs.microsoft.com/on-the-issues/2025/05/21/microsoft-leads-global-action-against-favored-cybercrime-tool/

Flare 威脅情報

https://flare.io/learn/resources/blog/redline-stealer-malware/

• 身份憑證竊取

偷取 Telegram、Google 的 Session Cookie，僞裝成受害者，持續約更多受害者，形成雪球式擴散。

參考：

d01a 分析報告

https://d01a.github.io/redline/

攻擊鏈四步驟

① 鋪陳信任

冒充投資人、媒體或 Podcast，透過 Calendly 寄出正式會議邀請。例如“ELUSIVE COMET”案例中，攻擊者僞裝 Bloomberg Crypto 頁面進行詐騙。

參考：

Trail of Bits Blog

https://blog.trailofbits.com/2025/04/17/mitigating-elusive-comet-zoom-remote-control-attacks/

② 投放木馬

仿冒 Zoom 網址（非 .zoom.us）引導下載惡意版本的 ZoomInstaller.exe。2023–2025 年多起事件皆採此手法投放 IcedID 或 Lumma。

參考：

Bitdefender

https://www.bitdefender.com/en-us/blog/hotforsecurity/hackers-used-modified-zoom-installer-and-phishing-campaign-to-deploy-trojan-banker-2、Microsofthttps://blogs.microsoft.com/on-the-issues/2025/05/21/microsoft-leads-global-action-against-favored-cybercrime-tool/

③ 會議中奪權

駭客在 Zoom 會議中將暱稱改成“Zoom”，請受害者“測試分享畫面”並同時發送遠端控制請求。一旦受害者點下“允許”，即遭全面入侵。

參考：

Help Net Security

https://www.helpnetsecurity.com/2025/04/18/zoom-remote-control-attack/

DarkReading

https://www.darkreading.com/remote-workforce/elusive-comet-zoom-victims

④ 擴散與套現

惡意程式將私鑰上傳，立即提幣，或潛伏數日再盜用 Telegram 身份釣魚他人。RedLine 特別針對 Telegram 的 tdata 目錄設計。

參考：

d01a 分析報告

https://d01a.github.io/redline/

事後急救三步驟

1. 立即隔離裝置

   拔網線、關 Wi-Fi，用乾淨 USB 開機掃描；如發現 RedLine／Lumma，建議全碟格式化重灌。

2. 撤除所有 Session

   將加密貨幣轉移至新硬體錢包；Telegram 登出所有裝置並啓用二步驟驗證；Email、交易所密碼全部更換。

3. 同步監控區塊鏈與交易所

   發現異常轉帳時，立即聯絡交易所請求凍結可疑地址。

長期防禦六鐵律

• 獨立會議設備：陌生會議僅用沒有私鑰的備用筆電或手機。

• 官方來源下載：Zoom、AnyDesk 等軟體必須來自原廠網站；macOS 建議關閉“下載後自動開啓”。

• 嚴格覈對網址：會議連結需爲 .zoom.us；Zoom Vanity URL 亦遵循此規範（官方指引 https://support.zoom.us/hc/en-us/articles/215062646-Guidelines-for-Vanity-URL-requests）。

• 三不原則：不裝外掛、不給遠端、不顯示 Seed／私鑰。

• 冷熱錢包分離：主資產放冷錢包加上 PIN + Passphrase；熱錢包僅留小額。

• 全帳號開 2FA：Telegram、Email、GitHub、交易所全面啓用雙重驗證。

結語：假會議的真危險

現代駭客不靠零日漏洞，而是演技精湛。他們設計“看起來很正常”的 Zoom 會議，等待你的失誤。

只要你養成習慣：隔離設備、官方來源、多層驗證，這些手法就不再有機可乘。願每一位鏈上使用者都能遠離社交工程陷阱，守住自己的金庫與身份。