区块链达人 
朝鲜黑客每日利用伪造 Zoom 会议 targeting 加密用户
网络安全非营利组织 Security Alliance(SEAL)近日发出紧急警告:朝鲜背景的黑客团伙正以每天多次的频率,通过伪造的 Zoom 视频会议诱骗加密货币用户下载恶意软件。安全研究员 Taylor Monahan 指出,此类攻击已造成超过 3 亿美元的资产损失,受害者不仅丢失私钥和密码,甚至其社交账号也被用于进一步扩散骗局。
伪造 Zoom 会议的运作机制
该骗局通常始于一条来自 Telegram 的消息——发信人看似是受害者熟识的朋友、同事或合作伙伴。由于身份“可信”,受害者容易放松警惕。随后,对方会提议“视频聊聊近况”,并发送一个看似正规的 Zoom 链接。
“他们会在通话前分享一个伪装成真实 Zoom 链接的网址。进入后,你确实能看到‘本人’及其‘同事’的画面。但这些视频并非深度伪造(deepfake),而是从此前被黑账户或公开资源(如播客)中截取的真实录像。”——Taylor Monahan恶意软件如何植入?
一旦视频通话开始,黑客会立即声称“音频有问题”,并迅速发送一个所谓的“音效修复补丁”或“Zoom 插件”。实际上,这是一个可执行文件(.exe 或 .dmg)。一旦用户点击运行,设备即被植入高级持久性威胁(APT)类恶意软件。
完成感染后,黑客会以“网络不稳定,改天再聊”为由结束通话。此时,受害者的电脑已在后台被完全控制,而用户却毫无察觉。
感染后的紧急应对措施
Monahan 强调,**时间就是资产**。若你曾点击过可疑链接,请立即采取以下步骤:
- 断开 Wi-Fi 或拔掉网线,彻底切断设备与互联网的连接;
- 强制关机,避免恶意程序继续传输数据;
- 使用另一台干净设备,将所有加密资产转移至全新钱包地址;
- 更改所有重要账户(邮箱、交易所、社交平台)的密码;
- 启用双重身份验证(2FA),优先选择基于认证器 App 或硬件密钥的方式;
- 对受感染设备执行完整内存擦除(factory reset 或重装系统),切勿直接恢复使用。
特别注意:保护你的 Telegram 账户
黑客一旦控制你的 Telegram,就能访问全部联系人,并以你的名义发起新一轮诈骗。因此,务必立即在手机上操作:
- 打开 Telegram → 设置 → 隐私与安全 → 活跃会话;
- 终止所有其他设备上的会话;
- 修改账户密码;
- 启用两步验证(Two-Step Verification)并设置恢复邮箱。
为何这类攻击屡屡得手?
此类骗局之所以高效,关键在于它融合了社会工程学与技术欺骗:
| 攻击要素 | 作用 |
|---|---|
| 熟人 Telegram 账号 | 建立初始信任,降低怀疑 |
| 真实人物视频片段 | 制造“真人在线”假象,绕过深度伪造识别 |
| “技术故障”借口 | 合理化发送可执行文件的行为 |
| 静默感染 + 延迟行动 | 避免即时暴露,最大化窃取范围 |
更危险的是,黑客会利用已攻陷的账户形成“信任链式传播”——你的朋友收到“你”发来的 Zoom 邀请,自然更容易上当。
常见问题解答
如果只是点击了链接但没下载文件,是否安全?
不一定。某些恶意链接会尝试利用浏览器漏洞进行“无文件攻击”(fileless attack)。建议仍按感染流程处理:断网、检查会话、重置密码。
Mac 用户是否也会中招?
会。近期攻击已包含针对 macOS 的恶意 .dmg 文件。苹果设备并非免疫,尤其当用户被诱导输入管理员密码时风险极高。
能否通过杀毒软件检测此类恶意软件?
多数传统杀毒软件难以识别,因为黑客使用定制化、低特征码的恶意载荷。最可靠的方式仍是物理隔离+系统重装。
为什么黑客偏爱 Zoom 而非其他会议软件?
Zoom 在加密圈普及率高,且其品牌认知度强,伪造链接(如 zoom-us[.]com)更容易迷惑用户。此外,Zoom 本身常需下载客户端,为植入可执行文件提供“合理”场景。
如何验证 Zoom 链接真伪?
永远不要点击他人发送的会议链接。应手动打开官方 Zoom 应用,通过“加入会议”输入会议 ID,或直接访问 https://zoom.us(注意网址拼写)。任何要求“先下载插件才能入会”的都是骗局。
发表评论