ZoomとCalendlyに基づくソーシャルエンジニアリング攻撃の完全な内訳

最近数ヶ月、暗号通貨コミュニティではサイバーセキュリティ侵害の急増が見られています。攻撃者は会議をスケジュールします。@Calendly""> @Calendly に送信し、見た目上の正当性を持つ@Zoom""> @Zoomリンク - 被害者を騙してトロイの木馬化されたアプリケーションをインストールさせるためだけのものです。多くの場合、ハッカーは会議中に被害者のデバイスを遠隔操作します。数分以内に、ウォレットは空にされます。@Telegram""> @Telegram アカウントがハイジャックされました。

この記事は攻撃チェーン全体を分解し、実行可能な防御戦略を共有し、コミュニティの再投稿、内部セキュリティトレーニング、または個人的な認識のための参考文献を含んでいます。

攻撃者の二重の動機

1. デジタル資産の盗難

ハッカーは、ブラウザベースまたはデスクトップウォレットからプライベートキーやシードフレーズを抽出するために、Lumma Stealer、RedLine、またはIcedIDのようなマルウェアを展開し、即座に転送します。 #TON, #BTC, およびその他の資産。

出所:マイクロソフトセキュリティブログ、フレア脅威インテリジェンス

2. アイデンティティハイジャック

TelegramやGoogleなどからのセッションクッキーが盗まれ、被害者になりすまし、新たなターゲットを誘引し、妥協の雪玉効果を引き起こす。

ソース:d01a 技術報告

4段階攻撃チェーン

① 信頼の確立
攻撃者は投資家、メディア、またはポッドキャストのホストを装い、正式なCalendlyの招待状を送信します。あるケースでは、「ELUSIVE COMET」と呼ばれ、攻撃者はBloomberg Cryptoサイトを模倣して信頼性を高めました。

出典：Trail of Bitsブログ

② トロイの木馬の展開
被害者は偽のZoomサイト（非-*.zoom.us）に誘導され、悪意のあるZoomInstaller.exeをダウンロードさせられます。これは2023年から2025年にかけてIcedIDまたはLummaマルウェアを展開する一般的な手法でした。

出典:Bitdefender、Microsoft

(3)会議中のハイジャック
ハッカーは会議で自分自身を「Zoom」と名乗り、被害者に「画面共有をテストする」と促しながら、同時にリモートアクセスのリクエストを送信します。被害者が「許可」をクリックすると、攻撃者に完全なシステム制御が与えられます。

出典:Help Net Security, Dark Reading

④ 悪用と横展開
マルウェアは、ウォレットの資格情報をアップロードしてすぐに引き出したり、Telegramセッションデータ(tdataフォルダ)を使用して被害者になりすましたり、他の人をフィッシングしたりしながら休眠状態になります。

出典：d01a 技術報告

緊急対応：3ステッププロトコル

1. デバイスを直ちに隔離してください
   インターネットから切断します。クリーンUSBを使用して再起動し、システムをスキャンします。LummaまたはRedLineが検出された場合は、ディスクを完全に消去し、OSを再インストールします。

2. すべてのセッションを取り消す
   暗号資産を新しいハードウェアウォレットに移動します。すべてのTelegramセッションからログアウトし、2要素認証(2FA)を有効にします。メール、交換、および重要なアカウントのすべてのパスワードを変更します。

3. ブロックチェーンと取引所を監視する
   疑わしい取引に注意し、必要に応じて取引所に連絡して侵害されたアドレスを凍結してください。

長期保護のための6つの黄金ルール

• 会議用の専用デバイス：不明な連絡先との会議には、プライベートキーのないバックアップのノートパソコンや携帯電話のみを使用してください。
• 公式ダウンロードソースのみ：ZoomやAnyDeskのようなソフトウェアは、公式ウェブサイトからダウンロードする必要があります。macOSでは、「ダウンロード後に安全なファイルを開く」を無効にしてください。
• 厳格なURL検証: .zoom.usの下のミーティングリンクのみを受け入れます。ZoomのバニティURLはこのドメイン構造に従う必要があります。
• 三つの「しない」ルール: プラグインを使わない、リモートアクセスをしない、シードやプライベートキーを表示しない。
• コールド/ホットウォレットの分離: 主要な資産はPIN + パスフレーズ付きのコールドウォレットに保管します。ホットウォレットには少額のみを保持してください。
• 2FA Everywhere: 主要なアカウントすべてに二要素認証を有効にしてください—Telegram、メール、GitHub、取引所。

結論：偽の会議の背後にある本当の危険

現代の攻撃者はゼロデイの脆弱性を必要とせず、完璧なソーシャルエンジニアリングに依存しています。彼らはまるで普通のZoom会議のように見えるものを作り、一つのミスを辛抱強く待ちます。

習慣を築くことで—孤立したデバイスを使用し、情報源を検証し、マルチレイヤー認証を強制することで—これらの攻撃を始まる前にシャットダウンできます。すべてのブロックチェーンユーザーが、作られた信頼の罠から安全であり、彼らのボールトとアイデンティティを守ることを願っています。

免責事項：

1. この記事は[から転載されています。𝙳𝚛. 𝙰𝚠𝚎𝚜𝚘𝚖𝚎 𝙳𝚘𝚐𝚎]. すべての著作権は原著作者に帰属します [𝙳𝚛. 𝙰𝚠𝚎𝚜𝚘𝚖𝚎 𝙳𝚘𝚐𝚎]. この再印刷に異議がある場合は、以下に連絡してください。ゲートラーニングチームが迅速に対応します。
2. 免責事項：この記事における見解や意見は著者のものであり、投資アドバイスを構成するものではありません。
3. この記事の他言語への翻訳はGate Learnチームによって行われています。特に記載がない限り、翻訳された記事のコピー、配布、または盗作は禁止されています。