Công ty an ninh blockchain SlowMist phát hiện một phần mềm độc hại đánh cắp thông tin trên macOS, kẻ tấn công chiếm quyền các phiên của Telegram Desktop và xâm phạm các ví tiền điện tử. Phần mềm độc hại thu thập dữ liệu từ macOS Keychain, cookie Safari, Apple Notes, Telegram Desktop và các cơ sở dữ liệu liên quan đến hơn một tá ví tiền điện tử, cho phép kẻ tấn công giải mã các cơ sở dữ liệu ví đã bị đánh cắp ngoại tuyến hoặc thay thế ứng dụng ví phần cứng hợp pháp bằng các phiên bản giả mạo. SlowMist đã tái tạo chuỗi tấn công trong một môi trường cô lập và xác nhận rằng xác minh hai bước của Telegram không ngăn được cuộc tấn công vì phần mềm độc hại tái sử dụng một phiên cục bộ đã được xác thực thay vì tạo đăng nhập mới.
Sau khi thu thập mật khẩu và các phiên đã được xác thực, phần mềm độc hại sao chép dữ liệu phiên Telegram Desktop đã được xác thực của người dùng, cơ sở dữ liệu ví và dữ liệu tiện ích mở rộng ví trên trình duyệt. SlowMist cho biết kẻ tấn công sau đó có thể thử giải mã các cơ sở dữ liệu ví đã bị đánh cắp ngoại tuyến bằng mật khẩu thu thập từ thiết bị bị nhiễm hoặc thay thế các ứng dụng hợp pháp Ledger và Trezor bằng các phiên bản giả mạo lừa người dùng nhập cụm từ khôi phục của họ. Phần mềm độc hại kết hợp nhiều kỹ thuật thành một chuỗi tấn công được phối hợp, cho phép kẻ tấn công theo đuổi các phương thức khác nhau để xâm phạm tài khoản và ví tiền điện tử.
Theo SlowMist, phần mềm độc hại nhắm vào các ví phần mềm bao gồm Exodus, Atomic, Electrum, Wasabi và Monero, cũng như các ứng dụng ví phần cứng như Ledger Live và Trezor Suite. Nó cũng tìm kiếm dữ liệu ví được lưu bởi các client full-node, bao gồm Bitcoin Core, Litecoin Core, Dash Core và Dogecoin Core.
Xác minh hai bước của Telegram không ngăn được cuộc tấn công vì phần mềm độc hại tái sử dụng một phiên cục bộ đã được xác thực thay vì tạo đăng nhập mới, theo SlowMist. Trong các thử nghiệm, các nhà nghiên cứu đã khôi phục dữ liệu phiên Telegram Desktop bị đánh cắp trên một máy Mac khác mà không cần nhập số điện thoại, mã xác minh hoặc mật khẩu xác minh hai bước.
SlowMist kêu gọi người dùng nếu nghi ngờ thiết bị của mình bị xâm phạm thì ngay lập tức chấm dứt các phiên Telegram đang hoạt động, thiết lập đăng nhập tin cậy mới và thay đổi cả mật khẩu xác minh hai bước của Telegram lẫn mã PIN Telegram Desktop. Công ty cũng khuyến nghị tạo một cụm từ khôi phục mới trên một thiết bị sạch và chuyển toàn bộ tài sản sang các địa chỉ mới.
SlowMist cho biết malware macOS đánh cắp những loại dữ liệu nào?
Phần mềm độc hại thu thập dữ liệu từ macOS Keychain, cookie Safari, Apple Notes, Telegram Desktop và các cơ sở dữ liệu liên quan đến hơn một tá ví tiền điện tử, bao gồm dữ liệu phiên Telegram Desktop đã được xác thực, cơ sở dữ liệu ví và dữ liệu tiện ích mở rộng ví trên trình duyệt.
Vì sao xác minh hai bước của Telegram không ngăn được cuộc tấn công malware này?
Xác minh hai bước của Telegram không ngăn được cuộc tấn công vì phần mềm độc hại tái sử dụng một phiên cục bộ đã được xác thực thay vì tạo đăng nhập mới. Các nhà nghiên cứu của SlowMist đã khôi phục dữ liệu phiên Telegram Desktop bị đánh cắp trên một máy Mac khác mà không cần nhập số điện thoại, mã xác minh hoặc mật khẩu xác minh hai bước.
SlowMist khuyến nghị những biện pháp bảo mật nào cho người dùng nghi ngờ bị xâm phạm thiết bị?
SlowMist kêu gọi người dùng ngay lập tức chấm dứt các phiên Telegram đang hoạt động, thiết lập đăng nhập tin cậy mới, thay đổi cả mật khẩu xác minh hai bước của Telegram lẫn mã PIN Telegram Desktop, tạo một cụm từ khôi phục mới trên một thiết bị sạch và chuyển toàn bộ tài sản sang các địa chỉ mới.
Tin tức liên quan
Stefan Thomas còn 2 lần thử để mở khóa 7.002 Bitcoin trên ổ đĩa IronKey
Enso xác định các “pool” độc hại thao túng việc thực thi giao dịch DeFi
Người đàn ông Florida bị bắt vì $220K trộm cắp crypto thông qua phần mềm độc hại lây nhiễm từ trò chơi điện tử