
SlowMist جزئیات بدافزار macOS را که کیف پولها را هدف قرار…
زنجیره، تسلط بر جلسه تلگرام را با Keychain و جمعآوری دادههای کیف پول ترکیب میکند و امکان رمزگشایی آفلاین یا برنامههای جعلی Ledger/Trezor را فراهم میآورد.
SlowMist یک بدافزار سرقت اطلاعات macOS را فاش کرد که میتواند تلگرام دسکتاپ را با کپی کردن و استفاده مجدد از دادههای جلسه محلی تأیید شده، هک کند. این کمپین به گونهای طراحی شده است که از اعتبارنامههای سرقت شده به سرقت چندین کیف پول از طریق تلاشهای رمزگشایی آفلاین یا برنامههای جعلی Ledger و Trezor منتقل شود.
نکات کلیدی
- یک سرقت اطلاعات macOS میتواند تلگرام دسکتاپ را با کپی کردن دادههای جلسه محلی تأیید شده و بازیابی آن در یک مک دیگر تحت کنترل بگیرد.
- تأیید هویت دو مرحلهای تلگرام این مسیر خاص هک را متوقف نمیکند زمانی که یک مهاجم از یک اثر جلسه موجود استفاده مجدد کند.
- این بدافزار اسرار کیچین macOS، کوکیهای سافاری، یادداشتهای اپل، دادههای تلگرام دسکتاپ و پایگاههای داده کیف پول مرتبط با بیش از دوازده کیف پول را جمعآوری میکند.
- دسترسی به کیف پول سرقت شده میتواند از طریق رمزگشایی آفلاین با استفاده از رمزهای عبور جمعآوری شده یا با تعویض برنامههای جعلی Ledger Live و Trezor Suite برای ضبط عبارات بازیابی به پول تبدیل شود.
SlowMist استفاده مجدد از جلسه تلگرام دسکتاپ را در macOS بازتولید میکند.
SlowMist گفت که یک زنجیره حمله را در یک محیط ایزوله بازتولید کرده است که در آن یک سرقت اطلاعات macOS تلگرام دسکتاپ را بدون انجام یک ورود جدید هک میکند. مکانیزم استفاده مجدد از جلسه است: این بدافزار دادههای جلسه محلی تلگرام دسکتاپ را که قبلاً وضعیت تأیید شدهای را نشان میدهد، کپی میکند، سپس آن وضعیت جلسه میتواند در یک مک دیگر بازیابی شود.
در آزمایشها، محققان دادههای جلسه سرقت شده تلگرام دسکتاپ را در یک مک دیگر بدون وارد کردن شماره تلفن، کد تأیید یا رمز عبور تأیید دو مرحلهای بازیابی کردند. این جزئیات برای امنیت عملیاتی مهم است زیرا تأیید دو مرحلهای تلگرام را به عنوان یک لایه سختسازی ورود به سیستم قاببندی میکند، نه یک دفاع در برابر یک نقطه پایانی آسیبدیده که در آن آثار جلسه میتوانند خارج شوند.
SlowMist محدودیت را به طور مستقیم خلاصه کرد: "تأیید دو مرحلهای تلگرام حمله را متوقف نمیکند زیرا بدافزار از یک جلسه محلی تأیید شده استفاده مجدد میکند به جای ایجاد یک ورود جدید."
چگونه Infostealer پایگاههای داده کلید، کوکیها، یادداشتها و کیف پول را برداشت میکند
این کمپین به طور محدود بر روی تلگرام ساخته نشده است. SlowMist یک جستجوی گسترده دادههای macOS را توصیف کرد که از کیچین macOS، کوکیهای سافاری، یادداشتهای اپل، تلگرام دسکتاپ و پایگاههای داده مرتبط با بیش از دوازده استخراج میکند.رمزنگاریکیف پولها.
پس از جمعآوری رمزهای عبور و جلسات تأیید شده، بدافزار دادههای جلسه تأیید شده کاربران در تلگرام دسکتاپ، پایگاههای داده کیف پول و دادههای افزونه کیف پول مرورگر را کپی میکند. مجموعه هدف شامل چندین سبک نگهداری است که نشان میدهد اپراتور به جای شرطبندی بر روی یک نوع کیف پول، برای هر آنچه که در مک قربانی موجود است، بهینهسازی میکند.
SlowMist اعلام کرد که بدافزار به کیفپولهای نرمافزاری از جمله Exodus، Atomic، Electrum، Wasabi و Monero حمله میکند. همچنین به دنبالکیف پول سختافزاریبرنامههای همراه، از جمله Ledger Live و Trezor Suite، و جستجو برای دادههای کیف پول ذخیرهشده توسط مشتریان نود کامل شاملبیتکوینهسته،لایت کوینهسته، دَش هسته و دوج کوین هسته.
دو مسیر سرقت: رمزگشایی کیف پول آفلاین در مقابل اپلیکیشنهای تقلبی Ledger/Trezor
SlowMist دو مسیر متمایز درآمدزایی را پس از جمعآوری دادهها مشخص کرد.
اولین مورد، نفوذ به فایل کیف پول بهطور مستقیم است. مهاجمان میتوانند سعی کنند پایگاههای داده کیف پول سرقت شده را بهصورت آفلاین با استفاده از رمزهای عبوری که از دستگاه آلوده جمعآوری شده، رمزگشایی کنند. این کار یک نفوذ نقطهای یکبار مصرف را به یک تلاش طولانیتر برای شکستن تبدیل میکند که دیگر نیازی به دسترسی به دستگاه قربانی ندارد.
دومین مورد، ضبط عبارت بازیابی از طریق جایگزینی اپلیکیشن است. SlowMist گفت که مهاجمان میتوانند اپلیکیشنهای قانونی Ledger و Trezor را با نسخههای تقلبی جایگزین کنند که کاربران را فریب میدهند تا عبارات بازیابی خود را وارد کنند. یکعبارت بذرکنترل کامل است، بنابراین این مسیر بهگونهای طراحی شده است که از محافظتهایی که کاربران از کیف پولهای سختافزاری انتظار دارند، با هدف قرار دادن نرمافزار همراه و رفتار کاربر، عبور کند.
چه چیزی خطر وسیعتری را تأیید میکند: IOCs، وکتور عفونت و سوءاستفادههای بعدی تلگرام
این متن شامل نام خانواده بدافزار، نسبتدهی به اپراتور، شاخصهای نفوذ مانند هشها، دامنهها یا مسیرهای فایل، یا هر تعداد قربانی نبود. این شکافها تفاوت بین یک نوشتار تکنیک محدود و یک کمپین هستند که معاملهگران میتوانند بهطور فعال در سراسر ناوگان به دنبال آن باشند.
سیگنالهای تأیید بعدی ساده هستند. اولاً، اینکه آیا SlowMist یا سایر محققان IOCها یا برچسب خانوادهای منتشر میکنند که به مدافعان اجازه میدهد موارد را خوشهبندی کنند. ثانیاً، افشای وکتور توزیع، از جمله اینکه آیا عفونت اولیه از برنامههای تروجانشده، فیشینگ یا تبلیغات مخرب ناشی میشود و آیا هدف آن دایرههای تلگرام با تمرکز بر رمزنگاری است.
سوم، هرگونه گزارش حادثه پیرو که بهطور صریح به جلسات بازگردانی شده Telegram Desktop بهعنوان روش دسترسی اشاره کند، نه ورودهای جدید. چهارم، بهروزرسانیها از Telegram Desktop، Ledger Live یا Trezor Suite کهآدرساستفاده مجدد از آثار جلسه یا الگوی جایگزینی برنامه.
چرا کنترل جلسه تلگرام یک مضاعف ریسک در جریان کار تجاری است
من این را به عنوان یک ریسک در جریان کار میبینم، نه فقط یک یادداشت حاشیهای در مورد امنیت حساب. تلگرام دسکتاپ جایی است که جریان معاملات، معرفیهای OTC و پیامهای عملیاتی "تأیید سریع" اتفاق میافتد و کنترل جلسه به یک مهاجم صدای معتبر در داخل آن کانال میدهد.
آستانهای که اهمیت دارد این است که آیا این از یک زنجیره تکثیر شده به یک خانواده نامدار با IOCها و یک مسیر توزیع شناخته شده تکامل مییابد یا خیر. اگر این موضوع برقرار باشد، تنظیمات به نظر ساختاری میرسد تا داستانمحور، زیرا استفاده مجدد از جلسات تلگرام به علاوه برداشت از چند کیف پول، راههای مستقل متعددی برای دسترسی به وجوه ایجاد میکند، حتی پس از اینکه یک کاربر رمزهای عبور را تغییر دهد.