Малware для macOS перехватывает сессии Telegram и нацеливается на криптокошельки

BTC-1,73%
LTC0,33%
DASH0,05%
DOGE-1,99%

Компания по кибербезопасности SlowMist обнаружила на macOS вредоносное ПО, которое крадёт данные: оно перехватывает сессии Telegram Desktop и скомпрометирует криптовалютные кошельки. Вредоносная программа собирает данные из macOS Keychain, куки Safari, Apple Notes, Telegram Desktop и баз данных, связанных более чем с десятком криптовалютных кошельков. Это позволяет злоумышленникам расшифровывать украденные базы кошельков офлайн или подменять легитимные приложения аппаратных кошельков на фальшивые версии. SlowMist воспроизвела цепочку атаки в изолированной среде и подтвердила, что двухэтапная верификация Telegram не предотвращает атаку: вредоносная программа повторно использует уже аутентифицированную локальную сессию, а не создаёт новый вход.

SlowMist выявляет методы кражи данных macOS-вредоносным ПО

После сбора паролей и аутентифицированных сессий вредоносная программа копирует данные аутентифицированной сессии Telegram Desktop, базы кошельков и данные расширений браузерных кошельков. SlowMist заявила, что далее злоумышленники могут попытаться расшифровать украденные базы кошельков офлайн, используя пароли, собранные с заражённого устройства, либо подменить легитимные приложения Ledger и Trezor на фальшивые версии, которые вынуждают пользователей вводить свои фразы восстановления. Вредоносная программа объединяет несколько техник в скоординированную цепочку атаки, позволяя злоумышленникам применять разные подходы к компрометации криптоаккаунтов и кошельков.

Вредоносное ПО нацелено на софтверные и аппаратные криптокошельки

По данным SlowMist, вредоносная программа нацеливается на софтверные кошельки, включая Exodus, Atomic, Electrum, Wasabi и Monero, а также на приложения аппаратных кошельков, такие как Ledger Live и Trezor Suite. Она также ищет данные кошельков, хранящиеся у клиентов full-node, включая Bitcoin Core, Litecoin Core, Dash Core и Dogecoin Core.

Двухэтапная верификация Telegram не предотвращает перехват сессий

Двухэтапная верификация Telegram не мешает атаке, потому что вредоносная программа повторно использует аутентифицированную локальную сессию вместо создания нового логина, говорится в сообщении SlowMist. В тестах исследователи восстановили украденные данные сессии Telegram Desktop на другом Mac, не вводя номер телефона, код подтверждения или пароль двухэтапной верификации.

SlowMist рекомендует срочные меры безопасности для скомпрометированных устройств

SlowMist призвала пользователей, которые подозревают компрометацию устройств, немедленно завершить существующие сессии Telegram, установить новый доверенный вход и изменить и пароль двухэтапной верификации Telegram, и код-пароль Telegram Desktop. Компания также рекомендовала сгенерировать новую фразу восстановления на чистом устройстве и перенести все активы на новые адреса.

FAQ

Какие типы данных крадёт macOS-вредоносное ПО, по данным SlowMist?

Вредоносная программа собирает данные из macOS Keychain, куки Safari, Apple Notes, Telegram Desktop и баз данных, связанных более чем с десятком криптовалютных кошельков, включая данные аутентифицированной сессии Telegram Desktop, базы кошельков и данные расширений браузерных кошельков.

Почему двухэтапная верификация Telegram не предотвращает эту атаку вредоносного ПО?

Двухэтапная верификация Telegram не предотвращает атаку, потому что вредоносная программа повторно использует аутентифицированную локальную сессию вместо создания нового логина. Исследователи SlowMist восстановили украденные данные сессии Telegram Desktop на другом Mac без ввода номера телефона, кода подтверждения или пароля двухэтапной верификации.

Какие меры безопасности рекомендует SlowMist пользователям, которые подозревают компрометацию устройства?

SlowMist призвала пользователей немедленно завершить существующие сессии Telegram, установить новый доверенный вход, изменить пароль двухэтапной верификации Telegram и код-пароль Telegram Desktop, сгенерировать новую фразу восстановления на чистом устройстве и перенести все активы на новые адреса.

Дисклеймер: Информация на этой странице может быть получена из источников третьих сторон и предоставляется только для ознакомления. Она не отражает взгляды или мнения Gate и не является финансовой, инвестиционной или юридической рекомендацией. Торговля виртуальными активами связана с высоким риском. Пожалуйста, не основывайте свои решения исключительно на данных этой страницы. Подробнее смотрите в Дисклеймере.
комментарий
0/400
Нет комментариев