A gloved hand reaches for two black devices on a
ارز دیجیتال

SlowMist جزئیات بدافزار macOS را که کیف پول‌ها را هدف قرار…

زنجیره، تسلط بر جلسه تلگرام را با Keychain و جمع‌آوری داده‌های کیف پول ترکیب می‌کند و امکان رمزگشایی آفلاین یا برنامه‌های جعلی Ledger/Trezor را فراهم می‌آورد.

نوشته AI News Crypto Editorial Team4 دقیقه مطالعه

SlowMist یک بدافزار سرقت اطلاعات macOS را فاش کرد که می‌تواند تلگرام دسکتاپ را با کپی کردن و استفاده مجدد از داده‌های جلسه محلی تأیید شده، هک کند. این کمپین به گونه‌ای طراحی شده است که از اعتبارنامه‌های سرقت شده به سرقت چندین کیف پول از طریق تلاش‌های رمزگشایی آفلاین یا برنامه‌های جعلی Ledger و Trezor منتقل شود.

نکات کلیدی

  • یک سرقت اطلاعات macOS می‌تواند تلگرام دسکتاپ را با کپی کردن داده‌های جلسه محلی تأیید شده و بازیابی آن در یک مک دیگر تحت کنترل بگیرد.
  • تأیید هویت دو مرحله‌ای تلگرام این مسیر خاص هک را متوقف نمی‌کند زمانی که یک مهاجم از یک اثر جلسه موجود استفاده مجدد کند.
  • این بدافزار اسرار کی‌چین macOS، کوکی‌های سافاری، یادداشت‌های اپل، داده‌های تلگرام دسکتاپ و پایگاه‌های داده کیف پول مرتبط با بیش از دوازده کیف پول را جمع‌آوری می‌کند.
  • دسترسی به کیف پول سرقت شده می‌تواند از طریق رمزگشایی آفلاین با استفاده از رمزهای عبور جمع‌آوری شده یا با تعویض برنامه‌های جعلی Ledger Live و Trezor Suite برای ضبط عبارات بازیابی به پول تبدیل شود.

SlowMist استفاده مجدد از جلسه تلگرام دسکتاپ را در macOS بازتولید می‌کند.

SlowMist گفت که یک زنجیره حمله را در یک محیط ایزوله بازتولید کرده است که در آن یک سرقت اطلاعات macOS تلگرام دسکتاپ را بدون انجام یک ورود جدید هک می‌کند. مکانیزم استفاده مجدد از جلسه است: این بدافزار داده‌های جلسه محلی تلگرام دسکتاپ را که قبلاً وضعیت تأیید شده‌ای را نشان می‌دهد، کپی می‌کند، سپس آن وضعیت جلسه می‌تواند در یک مک دیگر بازیابی شود.

در آزمایش‌ها، محققان داده‌های جلسه سرقت شده تلگرام دسکتاپ را در یک مک دیگر بدون وارد کردن شماره تلفن، کد تأیید یا رمز عبور تأیید دو مرحله‌ای بازیابی کردند. این جزئیات برای امنیت عملیاتی مهم است زیرا تأیید دو مرحله‌ای تلگرام را به عنوان یک لایه سخت‌سازی ورود به سیستم قاب‌بندی می‌کند، نه یک دفاع در برابر یک نقطه پایانی آسیب‌دیده که در آن آثار جلسه می‌توانند خارج شوند.

SlowMist محدودیت را به طور مستقیم خلاصه کرد: "تأیید دو مرحله‌ای تلگرام حمله را متوقف نمی‌کند زیرا بدافزار از یک جلسه محلی تأیید شده استفاده مجدد می‌کند به جای ایجاد یک ورود جدید."

چگونه Infostealer پایگاه‌های داده کلید، کوکی‌ها، یادداشت‌ها و کیف پول را برداشت می‌کند

این کمپین به طور محدود بر روی تلگرام ساخته نشده است. SlowMist یک جستجوی گسترده داده‌های macOS را توصیف کرد که از کی‌چین macOS، کوکی‌های سافاری، یادداشت‌های اپل، تلگرام دسکتاپ و پایگاه‌های داده مرتبط با بیش از دوازده استخراج می‌کند.رمزنگاریکیف پول‌ها.

پس از جمع‌آوری رمزهای عبور و جلسات تأیید شده، بدافزار داده‌های جلسه تأیید شده کاربران در تلگرام دسکتاپ، پایگاه‌های داده کیف پول و داده‌های افزونه کیف پول مرورگر را کپی می‌کند. مجموعه هدف شامل چندین سبک نگهداری است که نشان می‌دهد اپراتور به جای شرط‌بندی بر روی یک نوع کیف پول، برای هر آنچه که در مک قربانی موجود است، بهینه‌سازی می‌کند.

SlowMist اعلام کرد که بدافزار به کیف‌پول‌های نرم‌افزاری از جمله Exodus، Atomic، Electrum، Wasabi و Monero حمله می‌کند. همچنین به دنبالکیف پول سخت‌افزاریبرنامه‌های همراه، از جمله Ledger Live و Trezor Suite، و جستجو برای داده‌های کیف پول ذخیره‌شده توسط مشتریان نود کامل شاملبیت‌کوینهسته،لایت کوینهسته، دَش هسته و دوج کوین هسته.

دو مسیر سرقت: رمزگشایی کیف پول آفلاین در مقابل اپلیکیشن‌های تقلبی Ledger/Trezor

SlowMist دو مسیر متمایز درآمدزایی را پس از جمع‌آوری داده‌ها مشخص کرد.

اولین مورد، نفوذ به فایل کیف پول به‌طور مستقیم است. مهاجمان می‌توانند سعی کنند پایگاه‌های داده کیف پول سرقت شده را به‌صورت آفلاین با استفاده از رمزهای عبوری که از دستگاه آلوده جمع‌آوری شده، رمزگشایی کنند. این کار یک نفوذ نقطه‌ای یک‌بار مصرف را به یک تلاش طولانی‌تر برای شکستن تبدیل می‌کند که دیگر نیازی به دسترسی به دستگاه قربانی ندارد.

دومین مورد، ضبط عبارت بازیابی از طریق جایگزینی اپلیکیشن است. SlowMist گفت که مهاجمان می‌توانند اپلیکیشن‌های قانونی Ledger و Trezor را با نسخه‌های تقلبی جایگزین کنند که کاربران را فریب می‌دهند تا عبارات بازیابی خود را وارد کنند. یکعبارت بذرکنترل کامل است، بنابراین این مسیر به‌گونه‌ای طراحی شده است که از محافظت‌هایی که کاربران از کیف پول‌های سخت‌افزاری انتظار دارند، با هدف قرار دادن نرم‌افزار همراه و رفتار کاربر، عبور کند.

چه چیزی خطر وسیع‌تری را تأیید می‌کند: IOCs، وکتور عفونت و سوءاستفاده‌های بعدی تلگرام

این متن شامل نام خانواده بدافزار، نسبت‌دهی به اپراتور، شاخص‌های نفوذ مانند هش‌ها، دامنه‌ها یا مسیرهای فایل، یا هر تعداد قربانی نبود. این شکاف‌ها تفاوت بین یک نوشتار تکنیک محدود و یک کمپین هستند که معامله‌گران می‌توانند به‌طور فعال در سراسر ناوگان به دنبال آن باشند.

سیگنال‌های تأیید بعدی ساده هستند. اولاً، اینکه آیا SlowMist یا سایر محققان IOCها یا برچسب خانواده‌ای منتشر می‌کنند که به مدافعان اجازه می‌دهد موارد را خوشه‌بندی کنند. ثانیاً، افشای وکتور توزیع، از جمله اینکه آیا عفونت اولیه از برنامه‌های تروجان‌شده، فیشینگ یا تبلیغات مخرب ناشی می‌شود و آیا هدف آن دایره‌های تلگرام با تمرکز بر رمزنگاری است.

سوم، هرگونه گزارش حادثه پیرو که به‌طور صریح به جلسات بازگردانی شده Telegram Desktop به‌عنوان روش دسترسی اشاره کند، نه ورودهای جدید. چهارم، به‌روزرسانی‌ها از Telegram Desktop، Ledger Live یا Trezor Suite کهآدرساستفاده مجدد از آثار جلسه یا الگوی جایگزینی برنامه.

چرا کنترل جلسه تلگرام یک مضاعف ریسک در جریان کار تجاری است

من این را به عنوان یک ریسک در جریان کار می‌بینم، نه فقط یک یادداشت حاشیه‌ای در مورد امنیت حساب. تلگرام دسکتاپ جایی است که جریان معاملات، معرفی‌های OTC و پیام‌های عملیاتی "تأیید سریع" اتفاق می‌افتد و کنترل جلسه به یک مهاجم صدای معتبر در داخل آن کانال می‌دهد.

آستانه‌ای که اهمیت دارد این است که آیا این از یک زنجیره تکثیر شده به یک خانواده نام‌دار با IOCها و یک مسیر توزیع شناخته شده تکامل می‌یابد یا خیر. اگر این موضوع برقرار باشد، تنظیمات به نظر ساختاری می‌رسد تا داستان‌محور، زیرا استفاده مجدد از جلسات تلگرام به علاوه برداشت از چند کیف پول، راه‌های مستقل متعددی برای دسترسی به وجوه ایجاد می‌کند، حتی پس از اینکه یک کاربر رمزهای عبور را تغییر دهد.

منابع