Tác giả: 𝙳𝚛. 𝙰𝚠𝚎𝚜𝚘𝚖𝚎 𝙳𝚘𝚐𝚎
Gần đây, cộng đồng crypto liên tục xảy ra thảm họa an ninh mạng. Những kẻ tấn công sử dụng Calendly để lên lịch cuộc họp, gửi các liên kết "Zoom" có vẻ bình thường, nhằm mục đích dụ nạn nhân cài đặt phần mềm độc hại được ngụy trang, thậm chí chiếm quyền điều khiển từ xa máy tính trong cuộc họp. Chỉ trong một đêm, toàn bộ ví và tài khoản Telegram đã bị chiếm đoạt.
Bài viết này sẽ phân tích toàn diện chuỗi tấn công và các điểm then chốt trong việc phòng thủ, kèm theo tài liệu tham khảo đầy đủ để cộng đồng có thể chia sẻ, đào tạo nội bộ hoặc tự kiểm tra.
Mục tiêu kép của kẻ tấn công
Đánh cắp tài sản số
Sử dụng các phần mềm độc hại như Lumma Stealer, RedLine hoặc IcedID để trực tiếp đánh cắp private key và Seed Phrase từ các ví trình duyệt hoặc máy tính để bàn, nhanh chóng chuyển các loại tiền điện tử như TON, BTC.
Tham khảo:
Blog chính thức của Microsoft
Tình báo mối đe dọa Flare
https://flare.io/learn/resources/blog/redline-stealer-malware/
Đánh cắp thông tin xác thực danh tính
Đánh cắp Session Cookie của Telegram, Google, giả mạo nạn nhân để tiếp tục lừa nhiều nạn nhân khác, tạo ra sự lây lan theo kiểu tuyết lở.
Tham khảo:
Báo cáo phân tích d01a
https://d01a.github.io/redline/
Bốn bước trong chuỗi tấn công
① Xây dựng niềm tin
Giả danh nhà đầu tư, truyền thông hoặc Podcast, gửi lời mời họp chính thức qua Calendly. Ví dụ như trong vụ án "ELUSIVE COMET", kẻ tấn công đã giả mạo trang Bloomberg Crypto để lừa đảo.
Tham khảo:
Blog Trail of Bits
https://blog.trailofbits.com/2025/04/17/mitigating-elusive-comet-zoom-remote-control-attacks/
② Triển khai trojan
Giả mạo địa chỉ Zoom (không phải .zoom.us) để hướng dẫn tải xuống phiên bản độc hại của ZoomInstaller.exe. Nhiều sự kiện từ 2023-2025 đã sử dụng phương thức này để triển khai IcedID hoặc Lumma.
Tham khảo:
Bitdefender
https://www.bitdefender.com/en-us/blog/hotforsecurity/hackers-used-modified-zoom-installer-and-phishing-campaign-to-deploy-trojan-banker-2、Microsofthttps://blogs.microsoft.com/on-the-issues/2025/05/21/microsoft-leads-global-action-against-favored-cybercrime-tool/
③ Chiếm quyền trong cuộc họp
Hacker đổi biệt danh thành "Zoom" trong cuộc họp Zoom, yêu cầu nạn nhân "kiểm tra chia sẻ màn hình" đồng thời gửi yêu cầu điều khiển từ xa. Một khi nạn nhân nhấp vào "Cho phép", họ sẽ bị xâm nhập hoàn toàn.
Tham khảo:
Help Net Security
https://www.helpnetsecurity.com/2025/04/18/zoom-remote-control-attack/
DarkReading
https://www.darkreading.com/remote-workforce/elusive-comet-zoom-victims
④ Lan rộng và rút tiền
Phần mềm độc hại tải lên private key, rút tiền ngay lập tức, hoặc ẩn nấp trong vài ngày để sử dụng danh tính Telegram để lừa đảo người khác. RedLine được thiết kế đặc biệt để nhắm vào thư mục tdata của Telegram.
Tham khảo:
Báo cáo phân tích d01a
https://d01a.github.io/redline/
Ba bước cứu hộ khẩn cấp
Cách ly thiết bị ngay lập tức
Rút dây mạng, tắt Wi-Fi, khởi động bằng USB sạch để quét; nếu phát hiện RedLine/Lumma, khuyến nghị định dạng toàn bộ đĩa và cài đặt lại.
Hủy tất cả các phiên
Chuyển tiền điện tử sang ví phần cứng mới; đăng xuất Telegram khỏi tất cả các thiết bị và bật xác thực hai bước; thay đổi mật khẩu email và sàn giao dịch.
Đồng bộ giám sát blockchain và sàn giao dịch
Khi phát hiện giao dịch đáng ngờ, liên hệ ngay với sàn giao dịch để yêu cầu đóng băng địa chỉ đáng ngờ.
Sáu nguyên tắc phòng thủ dài hạn
Thiết bị họp độc lập: Chỉ sử dụng laptop hoặc điện thoại dự phòng không có private key cho các cuộc họp với người lạ.
Tải xuống từ nguồn chính thức: Phần mềm như Zoom, AnyDesk phải được tải từ trang web chính thức; đối với macOS, khuyến nghị tắt tính năng "Tự động mở sau khi tải xuống".
Kiểm tra kỹ địa chỉ: Liên kết cuộc họp phải là .zoom.us; Zoom Vanity URL cũng tuân theo quy tắc này (hướng dẫn chính thức https://support.zoom.us/hc/en-us/articles/215062646-Guidelines-for-Vanity-URL-requests)。
Nguyên tắc ba không: Không cài plugin, không cho quyền từ xa, không hiển thị Seed/private key.
Tách ví lạnh và nóng: Đặt tài sản chính vào ví lạnh có PIN + Passphrase; chỉ để lại số tiền nhỏ trong ví nóng.
Bật 2FA cho tất cả tài khoản: Bật xác thực hai bước cho Telegram, Email, GitHub, sàn giao dịch.
Kết luận: Nguy hiểm thực sự của cuộc họp giả
Các hacker hiện đại không dựa vào lỗ hổng zero-day, mà là diễn xuất tinh vi. Họ thiết kế các cuộc họp Zoom "trông rất bình thường", chờ đợi sai lầm của bạn.
Chỉ cần bạn hình thành thói quen: cách ly thiết bị, nguồn chính thức, xác thực nhiều lớp, những thủ thuật này sẽ không còn cơ hội. Mong rằng mỗi người dùng blockchain đều có thể tránh xa các bẫy kỹ thuật xã hội, giữ an toàn kho tiền và danh tính của mình.
