Компания по кибербезопасности SlowMist обнаружила на macOS вредоносное ПО, которое крадёт данные: оно перехватывает сессии Telegram Desktop и скомпрометирует криптовалютные кошельки. Вредоносная программа собирает данные из macOS Keychain, куки Safari, Apple Notes, Telegram Desktop и баз данных, связанных более чем с десятком криптовалютных кошельков. Это позволяет злоумышленникам расшифровывать украденные базы кошельков офлайн или подменять легитимные приложения аппаратных кошельков на фальшивые версии. SlowMist воспроизвела цепочку атаки в изолированной среде и подтвердила, что двухэтапная верификация Telegram не предотвращает атаку: вредоносная программа повторно использует уже аутентифицированную локальную сессию, а не создаёт новый вход.
После сбора паролей и аутентифицированных сессий вредоносная программа копирует данные аутентифицированной сессии Telegram Desktop, базы кошельков и данные расширений браузерных кошельков. SlowMist заявила, что далее злоумышленники могут попытаться расшифровать украденные базы кошельков офлайн, используя пароли, собранные с заражённого устройства, либо подменить легитимные приложения Ledger и Trezor на фальшивые версии, которые вынуждают пользователей вводить свои фразы восстановления. Вредоносная программа объединяет несколько техник в скоординированную цепочку атаки, позволяя злоумышленникам применять разные подходы к компрометации криптоаккаунтов и кошельков.
По данным SlowMist, вредоносная программа нацеливается на софтверные кошельки, включая Exodus, Atomic, Electrum, Wasabi и Monero, а также на приложения аппаратных кошельков, такие как Ledger Live и Trezor Suite. Она также ищет данные кошельков, хранящиеся у клиентов full-node, включая Bitcoin Core, Litecoin Core, Dash Core и Dogecoin Core.
Двухэтапная верификация Telegram не мешает атаке, потому что вредоносная программа повторно использует аутентифицированную локальную сессию вместо создания нового логина, говорится в сообщении SlowMist. В тестах исследователи восстановили украденные данные сессии Telegram Desktop на другом Mac, не вводя номер телефона, код подтверждения или пароль двухэтапной верификации.
SlowMist призвала пользователей, которые подозревают компрометацию устройств, немедленно завершить существующие сессии Telegram, установить новый доверенный вход и изменить и пароль двухэтапной верификации Telegram, и код-пароль Telegram Desktop. Компания также рекомендовала сгенерировать новую фразу восстановления на чистом устройстве и перенести все активы на новые адреса.
Какие типы данных крадёт macOS-вредоносное ПО, по данным SlowMist?
Вредоносная программа собирает данные из macOS Keychain, куки Safari, Apple Notes, Telegram Desktop и баз данных, связанных более чем с десятком криптовалютных кошельков, включая данные аутентифицированной сессии Telegram Desktop, базы кошельков и данные расширений браузерных кошельков.
Почему двухэтапная верификация Telegram не предотвращает эту атаку вредоносного ПО?
Двухэтапная верификация Telegram не предотвращает атаку, потому что вредоносная программа повторно использует аутентифицированную локальную сессию вместо создания нового логина. Исследователи SlowMist восстановили украденные данные сессии Telegram Desktop на другом Mac без ввода номера телефона, кода подтверждения или пароля двухэтапной верификации.
Какие меры безопасности рекомендует SlowMist пользователям, которые подозревают компрометацию устройства?
SlowMist призвала пользователей немедленно завершить существующие сессии Telegram, установить новый доверенный вход, изменить пароль двухэтапной верификации Telegram и код-пароль Telegram Desktop, сгенерировать новую фразу восстановления на чистом устройстве и перенести все активы на новые адреса.
Связанные новости
У Стефана Томаса осталось 2 попытки, чтобы разблокировать 7 002 Bitcoin на накопителе IronKey
Enso выявляет токсичные пулы, которые манипулируют исполнением торгов в DeFi
Житель Флориды арестован за кражу $220K криптовалюты с помощью вредоносного ПО для видеоигр