文章总结: 朝鲜黑客针对Web3企业实施Zoom钓鱼,利用虚假会议链接诱导受害者执行恶意PowerShell脚本。攻击窃取浏览器凭据、劫持Telegram会话并进行屏幕监控,通过合法模块加载绕过EDR。建议严格验证会议链接来源,勿轻信所谓的SDK更新,排查相关IOC文件以防范此类攻击。 综合评分: 88 文章分类: 威胁情报,应急响应,社会工程学,恶意软件
。这些电子邮件使用紧急语言,例如“立即加入紧急会议”或“未接 Zoom 电话”。</li>
<li>恶意链接或下载:单击该链接可能会重定向到虚假的 Zoom 域(例如“app.us4zoom.us”)或提示下载伪装成 Zoom 更新的恶意文件(例如“ZoomApp_v.3.14.dmg”)。这会安装可以窃取凭据、钱包密钥或系统数据的恶意软件。</li>
<li>社会工程学:虚假的 Zoom 界面可能会显示预先录制的“会议”视频以创建真实性,然后提示系统权限或交易批准。在 Venus 案例中,受害者在不知不觉中签署了委托授权交易,在几秒钟内转移了钱包控制权。</li>
<li>数据盗窃:被盗数据(包括加密钱包密钥)通常通过 Telegram API 发送到攻击者控制的服务器,就像类似的活动中所见。</li>
</ul>
<p>主要警告信号:</p>
<ul>
<li>发件人的电子邮件地址有细微的拼写错误或不熟悉的域(例如,“meet-zoom.us”而不是“zoom.us”)。</li>
<li>紧急或断章取义的会议请求,尤其是没有会议 ID 或可验证详细信息的会议请求。</li>
<li>意外提示下载软件更新或授予权限(例如麦克风、屏幕共享)。</li>
<li>可疑的钱包活动,例如未经授权的注销或交易提示。</li>
</ul>
<p>保护自己:</p>
<ul>
<li>
<p>尝试使用 Teams 与外部各方开会。</p>
</li>
<li>
<p>验证发件人:始终通过受信任的渠道(例如电话或内部聊天)确认会议邀请。合法的 Zoom 通知来自“[email protected]”或类似的官方域。</p>
</li>
<li>
<p>检查链接:将鼠标悬停在链接上以验证 URL。如果它与“zoom.us”或您公司的日历系统不匹配,请避免单击。直接使用官方 Zoom 应用程序或网站。</p>
</li>
<li>
<p>立即报告:如果发现任何异常活动,请立即向安全团队报告以进行调查。</p>
</li>
<li>
<p>保持更新:保持软件(包括 Zoom 和钱包扩展)处于最新状态,以避免已知漏洞</p>
</li>
</ul>
<hr />
<p><strong>免责声明:</strong></p>
<blockquote>
<p>本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。</p>
<p>任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。</p>
<p>本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的<strong>联系我</strong>。</p>
</blockquote>
<p>本文转载自:Ice ThirdSpace ice
ice《朝鲜黑客对Web3企业发起Zoom钓鱼攻击》</p> </div>
<div class=)
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论