macOS 恶意软件劫持 Telegram 会话,并瞄准加密货币钱包

BTC-1.73%
LTC0.33%
DASH0.05%
DOGE-1.99%

慢雾(SlowMist)发现了一种针对 macOS 的信息窃取恶意软件。该恶意软件劫持 Telegram Desktop 会话,并入侵加密货币钱包。恶意软件会从 macOS 钥匙串(Keychain)、Safari Cookie、Apple Notes、Telegram Desktop 以及与十多种加密货币钱包相关的数据库中采集数据,使攻击者能够在离线条件下解密被盗的钱包数据库,或将合法硬件钱包应用替换为伪造版本。慢雾在隔离环境中复现了攻击链,并确认 Telegram 的两步验证无法阻止该攻击,因为恶意软件会复用已通过身份验证的本地会话,而不是创建新的登录。

慢雾识别 macOS 恶意软件的数据窃取方法

在收集密码和已验证会话后,恶意软件会复制用户的已验证 Telegram Desktop 会话数据、钱包数据库以及浏览器钱包扩展数据。慢雾表示,攻击者随后可以尝试使用从受感染设备中窃取到的密码,在离线条件下解密被盗的钱包数据库;或者用伪造版本替换合法的 Ledger 和 Trezor 应用,从而诱骗用户输入其恢复短语。该恶意软件将多种技术整合为协调一致的攻击链,使攻击者能够采用不同方式攻破加密货币账户与钱包。

恶意软件瞄准的软件与硬件加密货币钱包

据慢雾称,该恶意软件会瞄准 Exodus、Atomic、Electrum、Wasabi 和 Monero 等软件钱包,以及 Ledger Live 和 Trezor Suite 等硬件钱包应用。它还会搜索由全节点客户端存储的钱包数据,包括 Bitcoin Core、Litecoin Core、Dash Core 和 Dogecoin Core。

Telegram 两步验证无法阻止会话劫持

慢雾表示,Telegram 两步验证无法阻止该攻击,因为恶意软件会复用已通过身份验证的本地会话,而不是创建新的登录。在测试中,研究人员在另一台 Mac 上恢复了被盗的 Telegram Desktop 会话数据,但未输入电话号码、验证码或两步验证密码。

慢雾建议对受影响设备采取立即的安全措施

慢雾敦促怀疑设备已被入侵的用户立即终止现有 Telegram 会话,建立新的可信登录,并更改其 Telegram 两步验证密码以及 Telegram Desktop 密码。该公司还建议在干净设备上生成新的恢复短语,并将所有资产转移到新的地址。

常见问题

慢雾表示,macOS 恶意软件会窃取哪些类型的数据?

该恶意软件从 macOS 钥匙串(Keychain)、Safari Cookie、Apple Notes、Telegram Desktop 以及与十多种以上加密货币钱包相关的数据库中采集数据,包括已验证的 Telegram Desktop 会话数据、钱包数据库以及浏览器钱包扩展数据。

为什么 Telegram 两步验证无法阻止这种恶意软件攻击?

Telegram 两步验证无法阻止该攻击,因为恶意软件会复用已通过身份验证的本地会话,而不是创建新的登录。慢雾研究人员在另一台 Mac 上恢复了被盗的 Telegram Desktop 会话数据,但未输入电话号码、验证码或两步验证密码。

慢雾建议用户怀疑设备被入侵时采取哪些安全措施?

慢雾敦促用户立即终止现有 Telegram 会话,建立新的可信登录,更改 Telegram 两步验证密码以及 Telegram Desktop 密码,在干净设备上生成新的恢复短语,并将所有资产转移到新的地址。

免责声明:本页面信息可能来自第三方,仅供参考,不代表 Gate 的观点或意见,亦不构成任何财务、投资或法律建议。数字资产交易风险较高,请勿仅依赖本页面信息作出决策。具体内容详见声明
评论
0/400
暂无评论