Шкідливе ПЗ для macOS викрадає сесії Telegram і націлюється на криптогаманці

BTC-1,53%
LTC-0,17%
DASH-0,08%
DOGE-1,69%

Компанія з безпеки блокчейну SlowMist виявила шкідливе програмне забезпечення для macOS, яке викрадає інформацію: воно перехоплює сесії Telegram Desktop і компрометує криптовалютні гаманці. Шкідник збирає дані з macOS Keychain, cookies у Safari, Apple Notes, Telegram Desktop та баз даних, пов’язаних більш ніж із десятком криптовалютних гаманців. Це дає змогу зловмисникам розшифрувати викрадені бази даних гаманців офлайн або замінити легітимні застосунки апаратних гаманців на фальшиві версії. SlowMist відтворила ланцюжок атаки в ізольованому середовищі та підтвердила, що двоетапна верифікація Telegram не запобігає атаці, оскільки шкідник повторно використовує автентиковану локальну сесію, а не створює новий вхід.

SlowMist Identifies MacOS Malware Data Harvesting Methods

Після збору паролів і автентикованих сесій шкідник копіює дані автентикованої сесії Telegram Desktop користувачів, бази даних гаманців та дані розширення для гаманця в браузері. SlowMist повідомила, що далі зловмисники можуть спробувати розшифрувати викрадені бази даних гаманців офлайн за допомогою паролів, вилучених із зараженого пристрою, або замінити легітимні застосунки Ledger і Trezor на фальшиві версії, які змушують користувачів вводити свої відновлювальні фрази. Шкідник поєднує кілька технік у скоординований ланцюжок атаки, що дає змогу зловмисникам застосовувати різні підходи для компрометації криптовалютних акаунтів і гаманців.

Malware Targets Software and Hardware Crypto Wallets

За даними SlowMist, шкідник націлюється на програмні гаманці, зокрема Exodus, Atomic, Electrum, Wasabi та Monero, а також на застосунки апаратних гаманців на кшталт Ledger Live і Trezor Suite. Він також шукає дані гаманця, збережені клієнтами повних нод, зокрема Bitcoin Core, Litecoin Core, Dash Core та Dogecoin Core.

Telegram Two-Step Verification Fails to Prevent Session Hijacking

Двоетапна верифікація Telegram не запобігає атаці, оскільки шкідник повторно використовує автентиковану локальну сесію замість того, щоб створювати новий вхід, повідомляє SlowMist. У тестах дослідники відновили викрадені дані сесії Telegram Desktop на іншому Mac без введення номера телефону, коду верифікації або пароля для двоетапної верифікації.

SlowMist Recommends Immediate Security Measures for Compromised Devices

SlowMist закликала користувачів, які підозрюють компрометацію своїх пристроїв, негайно завершити наявні сесії Telegram, встановити новий довірений вхід і змінити як пароль двоетапної верифікації Telegram, так і пароль Passcode для Telegram Desktop. Компанія також порадила згенерувати нову відновлювальну фразу на чистому пристрої та перенести всі активи на нові адреси.

FAQ

What types of data does the macOS malware steal according to SlowMist?

Шкідник викрадає дані з macOS Keychain, cookies у Safari, Apple Notes, Telegram Desktop та бази даних, пов’язані більш ніж із десятком криптовалютних гаманців, зокрема дані автентикованої сесії Telegram Desktop, бази даних гаманців і дані розширення гаманця в браузері.

Why does Telegram two-step verification not prevent this malware attack?

Двоетапна верифікація Telegram не запобігає цій атаці, оскільки шкідник повторно використовує автентиковану локальну сесію замість того, щоб створювати новий вхід. Дослідники SlowMist відновили викрадені дані сесії Telegram Desktop на іншому Mac без введення номера телефону, коду верифікації або пароля для двоетапної верифікації.

What security measures does SlowMist recommend for users who suspect device compromise?

SlowMist закликала користувачів негайно завершити наявні сесії Telegram, встановити новий довірений вхід, змінити як пароль двоетапної верифікації Telegram, так і пароль Passcode для Telegram Desktop, згенерувати нову відновлювальну фразу на чистому пристрої та перенести всі активи на нові адреси.

Застереження: інформація на цій сторінці може походити зі сторонніх джерел і надається виключно для ознайомлення. Вона не відображає позицію чи думку Gate і не є фінансовою, інвестиційною чи юридичною консультацією. Торгівля віртуальними активами пов’язана з високим ризиком. Будь ласка, не покладайтеся лише на інформацію з цієї сторінки під час прийняття рішень. Детальніше дивіться у Застереженні.
Прокоментувати
0/400
Немає коментарів