Компанія з безпеки блокчейну SlowMist виявила шкідливе програмне забезпечення для macOS, яке викрадає інформацію: воно перехоплює сесії Telegram Desktop і компрометує криптовалютні гаманці. Шкідник збирає дані з macOS Keychain, cookies у Safari, Apple Notes, Telegram Desktop та баз даних, пов’язаних більш ніж із десятком криптовалютних гаманців. Це дає змогу зловмисникам розшифрувати викрадені бази даних гаманців офлайн або замінити легітимні застосунки апаратних гаманців на фальшиві версії. SlowMist відтворила ланцюжок атаки в ізольованому середовищі та підтвердила, що двоетапна верифікація Telegram не запобігає атаці, оскільки шкідник повторно використовує автентиковану локальну сесію, а не створює новий вхід.
Після збору паролів і автентикованих сесій шкідник копіює дані автентикованої сесії Telegram Desktop користувачів, бази даних гаманців та дані розширення для гаманця в браузері. SlowMist повідомила, що далі зловмисники можуть спробувати розшифрувати викрадені бази даних гаманців офлайн за допомогою паролів, вилучених із зараженого пристрою, або замінити легітимні застосунки Ledger і Trezor на фальшиві версії, які змушують користувачів вводити свої відновлювальні фрази. Шкідник поєднує кілька технік у скоординований ланцюжок атаки, що дає змогу зловмисникам застосовувати різні підходи для компрометації криптовалютних акаунтів і гаманців.
За даними SlowMist, шкідник націлюється на програмні гаманці, зокрема Exodus, Atomic, Electrum, Wasabi та Monero, а також на застосунки апаратних гаманців на кшталт Ledger Live і Trezor Suite. Він також шукає дані гаманця, збережені клієнтами повних нод, зокрема Bitcoin Core, Litecoin Core, Dash Core та Dogecoin Core.
Двоетапна верифікація Telegram не запобігає атаці, оскільки шкідник повторно використовує автентиковану локальну сесію замість того, щоб створювати новий вхід, повідомляє SlowMist. У тестах дослідники відновили викрадені дані сесії Telegram Desktop на іншому Mac без введення номера телефону, коду верифікації або пароля для двоетапної верифікації.
SlowMist закликала користувачів, які підозрюють компрометацію своїх пристроїв, негайно завершити наявні сесії Telegram, встановити новий довірений вхід і змінити як пароль двоетапної верифікації Telegram, так і пароль Passcode для Telegram Desktop. Компанія також порадила згенерувати нову відновлювальну фразу на чистому пристрої та перенести всі активи на нові адреси.
What types of data does the macOS malware steal according to SlowMist?
Шкідник викрадає дані з macOS Keychain, cookies у Safari, Apple Notes, Telegram Desktop та бази даних, пов’язані більш ніж із десятком криптовалютних гаманців, зокрема дані автентикованої сесії Telegram Desktop, бази даних гаманців і дані розширення гаманця в браузері.
Why does Telegram two-step verification not prevent this malware attack?
Двоетапна верифікація Telegram не запобігає цій атаці, оскільки шкідник повторно використовує автентиковану локальну сесію замість того, щоб створювати новий вхід. Дослідники SlowMist відновили викрадені дані сесії Telegram Desktop на іншому Mac без введення номера телефону, коду верифікації або пароля для двоетапної верифікації.
What security measures does SlowMist recommend for users who suspect device compromise?
SlowMist закликала користувачів негайно завершити наявні сесії Telegram, встановити новий довірений вхід, змінити як пароль двоетапної верифікації Telegram, так і пароль Passcode для Telegram Desktop, згенерувати нову відновлювальну фразу на чистому пристрої та перенести всі активи на нові адреси.
Пов’язані новини
Стефан Томас має 2 спроби, що залишилися, щоб розблокувати 7,002 Bitcoin на IronKey-накопичувачі
Enso виявляє токсичні пули, які маніпулюють виконанням угод у DeFi
Мешканця Флориди заарештували за крадіжку криптовалюти $220K за допомогою шкідливого програмного забезпечення для відеоігор