解析 Zoom 与 Calendly 钓鱼攻击的运作链及防御要点

作者：𝙳𝚛. 𝙰𝚠𝚎𝚜𝚘𝚖𝚎 𝙳𝚘𝚐𝚎

近来加密货币社群频传资安灾难。攻击者透过 Calendly 排程会议，发送看似正常的“Zoom 链接”，引诱受害者安装伪装的木马程式，甚至在会议中取得电脑远端控制权。一夕之间，钱包与 Telegram 帐号全数被夺。

本篇将全面解析此类攻击的运作链与防御要点，并附上完整参考资料，方便社群转贴、内部培训或自我检查使用。

攻击者的双重目标

• 数位资产盗取

利用 Lumma Stealer、RedLine 或 IcedID 等恶意程式，直接窃取浏览器或桌面钱包中的私钥与 Seed Phrase，将 TON、BTC 等加密货币迅速转出。

参考：

Microsoft 官方部落格

https://blogs.microsoft.com/on-the-issues/2025/05/21/microsoft-leads-global-action-against-favored-cybercrime-tool/

Flare 威胁情报

https://flare.io/learn/resources/blog/redline-stealer-malware/

• 身份凭证窃取

偷取 Telegram、Google 的 Session Cookie，伪装成受害者，持续约更多受害者，形成雪球式扩散。

参考：

d01a 分析报告

https://d01a.github.io/redline/

攻击链四步骤

① 铺陈信任

冒充投资人、媒体或 Podcast，透过 Calendly 寄出正式会议邀请。例如“ELUSIVE COMET”案例中，攻击者伪装 Bloomberg Crypto 页面进行诈骗。

参考：

Trail of Bits Blog

https://blog.trailofbits.com/2025/04/17/mitigating-elusive-comet-zoom-remote-control-attacks/

② 投放木马

仿冒 Zoom 网址（非 .zoom.us）引导下载恶意版本的 ZoomInstaller.exe。2023–2025 年多起事件皆采此手法投放 IcedID 或 Lumma。

参考：

Bitdefender

https://www.bitdefender.com/en-us/blog/hotforsecurity/hackers-used-modified-zoom-installer-and-phishing-campaign-to-deploy-trojan-banker-2、Microsofthttps://blogs.microsoft.com/on-the-issues/2025/05/21/microsoft-leads-global-action-against-favored-cybercrime-tool/

③ 会议中夺权

骇客在 Zoom 会议中将昵称改成“Zoom”，请受害者“测试分享画面”并同时发送远端控制请求。一旦受害者点下“允许”，即遭全面入侵。

参考：

Help Net Security

https://www.helpnetsecurity.com/2025/04/18/zoom-remote-control-attack/

DarkReading

https://www.darkreading.com/remote-workforce/elusive-comet-zoom-victims

④ 扩散与套现

恶意程式将私钥上传，立即提币，或潜伏数日再盗用 Telegram 身份钓鱼他人。RedLine 特别针对 Telegram 的 tdata 目录设计。

参考：

d01a 分析报告

https://d01a.github.io/redline/

事后急救三步骤

1. 立即隔离装置

   拔网线、关 Wi-Fi，用干净 USB 开机扫描；如发现 RedLine／Lumma，建议全碟格式化重灌。

2. 撤除所有 Session

   将加密货币转移至新硬体钱包；Telegram 登出所有装置并启用二步骤验证；Email、交易所密码全部更换。

3. 同步监控区块链与交易所

   发现异常转帐时，立即联络交易所请求冻结可疑地址。

长期防御六铁律

• 独立会议设备：陌生会议仅用没有私钥的备用笔电或手机。

• 官方来源下载：Zoom、AnyDesk 等软体必须来自原厂网站；macOS 建议关闭“下载后自动开启”。

• 严格核对网址：会议连结需为 .zoom.us；Zoom Vanity URL 亦遵循此规范（官方指引 https://support.zoom.us/hc/en-us/articles/215062646-Guidelines-for-Vanity-URL-requests）。

• 三不原则：不装外挂、不给远端、不显示 Seed／私钥。

• 冷热钱包分离：主资产放冷钱包加上 PIN + Passphrase；热钱包仅留小额。

• 全帐号开 2FA：Telegram、Email、GitHub、交易所全面启用双重验证。

结语：假会议的真危险

现代骇客不靠零日漏洞，而是演技精湛。他们设计“看起来很正常”的 Zoom 会议，等待你的失误。

只要你养成习惯：隔离设备、官方来源、多层验证，这些手法就不再有机可乘。愿每一位链上使用者都能远离社交工程陷阱，守住自己的金库与身份。