本文源自 @drawesomedoge 所著文章,由 wublockchain 整理、編譯及撰稿。 (前情提要:Google Cloud警告:北韓IT間諜攻擊擴大,全球企業應警惕 ) (背景補充:微軟警告新惡意木馬程式:鎖定攻擊OKX、Metamask等20種主流Web3錢包 )   近期加密貨幣社羣頻頻傳出安全災難。攻擊者通過 Calendly 安排會議,傳送看似正常的「Zoom 連結」,誘導受害者安裝偽裝的木馬程式,甚至在會議中獲得電腦的遠端控制權。一夜之間,錢包和 Telegram 帳號被完全奪取。 本文將全面解析此類攻擊的運作鏈與防禦要點,並附上完整參考資料,便於社羣轉發、內部培訓或自我檢查使用。 攻擊者的雙重目標 盜取數位資產:利用 Lumma Stealer、RedLine 或 IcedID 等惡意程式,直接竊取瀏覽器或桌面錢包中的私鑰和助記詞,將 TON、BTC 等加密貨幣迅速轉出。 竊取身份憑證:竊取 Telegram、Google 的 Session Cookie,偽裝成受害者繼續接觸更多物件,形成雪球式擴散。 攻擊鏈四步走 ① 鋪陳信任 冒充投資人、媒體或Podcast主持人,通過 Calendly 傳送正式會議邀請。例如「ELUSIVE COMET」案例中,攻擊者偽裝 Bloomberg Crypto 頁面進行釣魚。 ② 投放木馬 偽造 Zoom 連結(非 .zoom.us 結尾)引導使用者下載惡意版本的 ZoomInstaller.exe。2023–2025 年多起事件都通過此方式植入 IcedID 或 Lumma 木馬。 ③ 會議中奪權 駭客在 Zoom 會議中將暱稱改為「Zoom」,請求受害者「測試共享畫面」,並同時傳送遠端控制請求。一旦點選「允許」,裝置即被完全接管。 ④ 擴散與套現 惡意程式將私鑰上傳後立即提幣,或潛伏數日再偽裝 Telegram 身份繼續釣魚他人。RedLine 特別針對 Telegram 的 tdata 目錄開發定向功能。 事後急救三步驟 立即隔離裝置:拔網線、關閉 Wi-Fi,使用乾淨的 USB 啟動裝置並全盤掃描;如發現 RedLine/Lumma,建議全盤格式化重灌系統。 撤銷所有 Session:將加密資產轉移至新的硬體錢包;Telegram 登出所有裝置並啟用雙重驗證;更換郵箱、交易所等所有密碼。 同步監控鏈上與交易所動態:發現可疑轉帳時,立即聯絡交易所請求凍結相關地址。 長期防禦六鐵律 獨立會議裝置:陌生會議只用不存私鑰的備用筆記本或手機。 只從官網下載軟體:Zoom、AnyDesk 等工具必須從官網下載macOS 建議關閉「下載後自動開啟」功能。 嚴格覈查網址:會議連結必須以 .zoom.us 結尾;Zoom Vanity URL 也必須符合規範。 三不原則:不裝外掛、不給遠端、不展示助記詞或私鑰。 冷熱錢包分離:主資產使用冷錢包,並設定 PIN 和 Passphrase;熱錢包僅保留小額資金。 全帳戶開啟 2FA:Telegram、郵箱、GitHub、交易所等全部啟用雙重驗證。 結語:假會議的真風險 現代駭客不依賴 0-day 漏洞,而是擅長表演。他們設計「看起來很正常」的 Zoom 會議,等你一個失誤。 只要你養成好習慣:隔離裝置、只從官網下載、多重驗證,這類攻擊就很難得逞。願每一位鏈上使用者都能遠離社交工程陷阱,守住自己的金庫與身份。 相關報導 慢霧:Cetus 被盜 2.3 億美金事件分析 越南政府宣佈禁用Telegram:打擊犯罪!加密通訊不符國家安全 PoS更安全?開發者:攻擊以太坊成本遠超比特幣的100億美元 "加密詐騙「假會議連結攻擊」全解析:長期防禦的六條鐵律"這篇文章最早發佈於動區BlockTempo(動區動趨-最具影響力的區塊鏈新聞媒體)。

#BTC