macOSのマルウェアがTelegramのセッションを乗っ取り、暗号資産ウォレットを狙う

BTC-1.73%
LTC0.33%
DASH0.05%
DOGE-1.99%

暗号資産セキュリティ企業のSlowMistは、macOSの情報窃取型マルウェアを発見した。このマルウェアはTelegram Desktopのセッションを乗っ取り、暗号資産ウォレットを侵害する。マルウェアはmacOSのキーチェーン、SafariのCookie、Apple Notes、Telegram Desktop、ならびに13種類以上の暗号資産ウォレットに関連するデータベースから情報を収集し、攻撃者は盗み取ったウォレットのデータベースをオフラインで復号したり、正規のハードウェアウォレットアプリを偽のバージョンに置き換えたりできる。SlowMistは隔離環境で攻撃チェーンを再現し、Telegramの2段階認証では攻撃を防げないことを確認した。これは、マルウェアが新しいログインを作成するのではなく、認証済みのローカルセッションを流用するためである。

SlowMistがMacOSマルウェアのデータ収集手法を特定

パスワードと認証済みセッションを収集した後、マルウェアはユーザーの認証済みTelegram Desktopセッションデータ、ウォレットデータベース、ブラウザウォレット拡張データをコピーする。SlowMistによると、攻撃者は次に、感染した端末から収集したパスワードを使って盗み取ったウォレットデータベースをオフラインで復号しようとすることや、正規のLedgerおよびTrezorアプリを偽のバージョンに置き換えて、ユーザーにリカバリーフレーズを入力させることが可能だという。マルウェアは、複数の手法を組み合わせた攻撃チェーンとして成立しており、攻撃者は暗号資産口座やウォレットを侵害するための異なる手段を追求できる。

マルウェアはソフトウェアおよびハードウェアの暗号資産ウォレットを標的に

SlowMistによれば、このマルウェアはExodus、Atomic、Electrum、Wasabi、Moneroといったソフトウェアウォレットに加え、Ledger LiveやTrezor Suiteのようなハードウェアウォレットアプリも標的にする。さらに、Bitcoin Core、Litecoin Core、Dash Core、Dogecoin Coreなどのフルノードクライアントに保存されているウォレットデータも検索する。

Telegramの2段階認証ではセッション乗っ取りを防げない

SlowMistによると、Telegramの2段階認証は、新しいログインを作成する代わりに、マルウェアが認証済みのローカルセッションを流用するため、攻撃を防げない。テストでは、研究者らが、電話番号、認証コード、または2段階認証パスワードを入力せずに、盗み取ったTelegram Desktopセッションデータを別のMacに復元した。

SlowMistは侵害された端末に対する即時のセキュリティ対策を推奨

SlowMistは、端末が侵害された疑いがあるユーザーに対し、直ちに既存のTelegramセッションを終了し、新たに信頼できるログインを確立した上で、Telegramの2段階認証パスワードとTelegram Desktopのパスコードの両方を変更するよう促した。同社はまた、クリーンな端末で新しいリカバリーフレーズを生成し、すべての資産を新しいアドレスへ移すことも推奨している。

FAQ

SlowMistによると、macOSマルウェアはどのようなデータを盗みますか?

このマルウェアはmacOSのキーチェーン、SafariのCookie、Apple Notes、Telegram Desktop、ならびに13種類以上の暗号資産ウォレットに関連するデータベースから情報を収集します。これには、認証済みのTelegram Desktopセッションデータ、ウォレットデータベース、ブラウザウォレット拡張データが含まれます。

なぜTelegramの2段階認証では、このマルウェア攻撃を防げないのですか?

Telegramの2段階認証では、新しいログインを作成する代わりに、マルウェアが認証済みのローカルセッションを流用するため、攻撃を防げません。SlowMistの研究者らは、電話番号、認証コード、または2段階認証パスワードを入力せずに、盗み取ったTelegram Desktopセッションデータを別のMacに復元しました。

端末侵害を疑うユーザーに、SlowMistはどのようなセキュリティ対策を推奨していますか?

SlowMistは、ユーザーに対し直ちに既存のTelegramセッションを終了し、新たに信頼できるログインを確立した上で、Telegramの2段階認証パスワードとTelegram Desktopのパスコードの両方を変更し、クリーンな端末で新しいリカバリーフレーズを生成し、すべての資産を新しいアドレスへ移すよう求めています。

免責事項:本ページの情報には第三者提供の内容が含まれる場合があり、参考目的のみで提供されています。これらはGateの見解や意見を示すものではなく、金融、投資、または法律上の助言を構成するものでもありません。暗号資産取引には高いリスクが伴います。意思決定を行う際には、本ページの情報のみに依存しないでください。詳細については、免責事項をご確認ください。
コメント
0/400
コメントなし