A gloved hand reaches for two black devices on a
क्रिप्टो

SlowMist ने macOS इन्फोस्टीलर का खुलासा किया जो वॉलेट्स तक…

चेन टेलीग्राम सत्र अधिग्रहण को कीचेन और वॉलेट-डेटा संग्रहण के साथ जोड़ती है, जिससे ऑफलाइन डिक्रिप्शन या फर्जी लेजर/ट्रेज़ोर ऐप्स की अनुमति मिलती है।

AI News Crypto Editorial Team द्वारा4 मिनट का पठन

SlowMist ने एक macOS सूचना-चोरी करने वाले मैलवेयर का खुलासा किया है जो पहले से प्रमाणित स्थानीय सत्र डेटा को कॉपी करके और पुनः उपयोग करके Telegram Desktop को हाईजैक कर सकता है। यही अभियान चोरी किए गए क्रेडेंशियल्स से बहु-वालेट चोरी में बदलने के लिए ऑफ़लाइन डिक्रिप्शन प्रयासों या नकली Ledger और Trezor अनुप्रयोगों के माध्यम से डिज़ाइन किया गया है।

मुख्य निष्कर्ष

  • एक macOS सूचना-चोर Telegram Desktop को प्रमाणित स्थानीय सत्र डेटा को कॉपी करके और इसे दूसरे Mac पर पुनर्स्थापित करके अपने कब्जे में ले सकता है।
  • Telegram का दो-चरणीय सत्यापन इस विशेष कब्जे के मार्ग को नहीं रोकता जब एक हमलावर मौजूदा सत्र के अवशेषों का पुनः उपयोग करता है।
  • मैलवेयर macOS Keychain रहस्यों, Safari कुकीज़, Apple नोट्स, Telegram Desktop डेटा, और एक दर्जन से अधिक वॉलेट से जुड़े वॉलेट डेटाबेस को इकट्ठा करता है।
  • चोरी किए गए वॉलेट तक पहुंच को या तो इकट्ठा किए गए पासवर्ड का उपयोग करके ऑफ़लाइन डिक्रिप्शन करके या नकली Ledger Live और Trezor Suite ऐप्स को स्वैप करके पुनर्प्राप्ति वाक्यांशों को कैप्चर करके मुद्रीकृत किया जा सकता है।

SlowMist ने macOS पर Telegram Desktop सत्र पुनः उपयोग को पुन: उत्पन्न किया

SlowMist ने कहा कि उसने एक अलग वातावरण में एक हमले की श्रृंखला को पुन: उत्पन्न किया जहां एक macOS सूचना-चोर बिना नए लॉगिन किए Telegram Desktop को हाईजैक करता है। तंत्र सत्र पुनः उपयोग है: मैलवेयर स्थानीय Telegram Desktop सत्र डेटा को कॉपी करता है जो पहले से एक प्रमाणित स्थिति का प्रतिनिधित्व करता है, फिर उस सत्र की स्थिति को दूसरे Mac पर पुनर्स्थापित किया जा सकता है।

परीक्षणों में, शोधकर्ताओं ने बिना फोन नंबर, सत्यापन कोड या दो-चरणीय सत्यापन पासवर्ड दर्ज किए बिना दूसरे Mac पर चोरी किए गए Telegram Desktop सत्र डेटा को पुनर्स्थापित किया। यह विवरण संचालन सुरक्षा के लिए महत्वपूर्ण है क्योंकि यह Telegram के दो-चरणीय सत्यापन को लॉगिन को मजबूत करने की परत के रूप में ढालता है, न कि एक समझौता किए गए एंडपॉइंट के खिलाफ रक्षा के रूप में जहां सत्र के अवशेषों को निकाला जा सकता है।

SlowMist ने सीधे सीमा का सारांश दिया: “Telegram का दो-चरणीय सत्यापन हमले को रोकता नहीं है क्योंकि मैलवेयर एक नए लॉगिन बनाने के बजाय एक प्रमाणित स्थानीय सत्र का पुनः उपयोग करता है।”

इन्फोस्टीलर कैसे कीचेन, कुकीज़, नोट्स और वॉलेट डेटाबेस को इकट्ठा करता है

यह अभियान केवल टेलीग्राम के चारों ओर नहीं बना है। SlowMist ने एक व्यापक macOS डेटा स्वीप का वर्णन किया जो macOS कीचेन, सफारी कुकीज़, एप्पल नोट्स, टेलीग्राम डेस्कटॉप और एक दर्जन से अधिक से जुड़े डेटाबेस से खींचता है।क्रिप्टोक्यूरेंसी वॉलेट।

पासवर्ड और प्रमाणित सत्रों को इकट्ठा करने के बाद, मैलवेयर उपयोगकर्ताओं के प्रमाणित टेलीग्राम डेस्कटॉप सत्र डेटा, वॉलेट डेटाबेस और ब्राउज़र वॉलेट एक्सटेंशन डेटा की कॉपी करता है। लक्षित सेट कई हिरासत शैलियों में फैला हुआ है, जो सुझाव देता है कि ऑपरेटर पीड़ित के मैक पर मौजूद किसी भी चीज़ के लिए अनुकूलन कर रहा है, बजाय इसके कि एक वॉलेट प्रकार पर दांव लगाए।

SlowMist ने कहा कि मैलवेयर सॉफ़्टवेयर वॉलेट को लक्षित करता है जिसमें एक्सोडस, एटॉमिक, इलेक्ट्रम, वासाबी और मोनेरो शामिल हैं। यह हार्डवेयर वॉलेट साथी ऐप्स पर भी हमला करता है, जिसमें लेजर लाइव और ट्रेज़र सूट का नाम शामिल है, और पूर्ण-नोड क्लाइंट द्वारा संग्रहीत वॉलेट डेटा की खोज करता है जिसमें बिटकॉइन कोर, लाइटकॉइन कोर, डैश कोर और डॉगकॉइन कोर।

दो चोरी के रास्ते: ऑफ़लाइन वॉलेट डिक्रिप्शन बनाम फर्जी लेजर/ट्रेज़र ऐप्स

स्लोमिस्ट ने बताया कि डेटा एकत्रित होने के बाद दो अलग-अलग मुद्रीकरण रास्ते हैं।

पहला है सीधे वॉलेट-फाइल का समझौता। हमलावर चोरी किए गए वॉलेट डेटाबेस को ऑफ़लाइन डिक्रिप्ट करने का प्रयास कर सकते हैं, जिसमें संक्रमित उपकरण से प्राप्त पासवर्ड का उपयोग किया जाता है। यह एक बार के अंत बिंदु के समझौते को एक लंबे समय तक चलने वाले क्रैकिंग प्रयास में बदल देता है, जिसे अब पीड़ित की मशीन तक पहुंच की आवश्यकता नहीं है।

दूसरा है ऐप प्रतिस्थापन के माध्यम से रिकवरी-फ्रेज़ कैप्चर। स्लोमिस्ट ने कहा कि हमलावर वैध लेजर और ट्रेज़र ऐप्स को फर्जी संस्करणों से बदल सकते हैं जो उपयोगकर्ताओं को उनके रिकवरी वाक्यांश दर्ज करने के लिए धोखा देते हैं। एकबीज वाक्यांश पूरी नियंत्रण है, इसलिए यह रास्ता हार्डवेयर वॉलेट से उपयोगकर्ताओं की अपेक्षाओं से सुरक्षा को बायपास करने के लिए डिज़ाइन किया गया है, साथी सॉफ़्टवेयर और उपयोगकर्ता के व्यवहार को लक्षित करके।

क्या व्यापक जोखिम की पुष्टि करेगा: IOC, संक्रमण वेक्टर, और फॉलो-ऑन टेलीग्राम दुरुपयोग

अंश में कोई मैलवेयर परिवार का नाम, ऑपरेटर का श्रेय, समझौते के संकेत जैसे हैश, डोमेन, या फ़ाइल पथ, या कोई पीड़ित संख्या शामिल नहीं थी। ये अंतर एक सीमित तकनीक लेखन और एक अभियान के बीच का अंतर है जिसे व्यापारी सक्रिय रूप से बेड़े में शिकार कर सकते हैं।

अगले पुष्टि करने वाले संकेत सीधे हैं। पहले, चाहे SlowMist या अन्य शोधकर्ता IOCs या एक परिवार लेबल प्रकाशित करें जो रक्षकों को मामलों को समूहित करने की अनुमति देता है। दूसरा, वितरण वेक्टर का खुलासा, जिसमें यह शामिल है कि क्या प्रारंभिक संक्रमण ट्रोजनयुक्त ऐप्स, फ़िशिंग, या मालवेरटाइजिंग से आ रहा है, और क्या यह क्रिप्टो-भारी टेलीग्राम सर्कल्स को लक्षित कर रहा है।

तीसरा, कोई भी फॉलो-ऑन घटना रिपोर्ट जो स्पष्ट रूप से पुनर्स्थापित टेलीग्राम डेस्कटॉप सत्रों को पहुंच के तरीके के रूप में संदर्भित करती है, नए लॉगिन के बजाय। चौथा, टेलीग्राम डेस्कटॉप, लेजर लाइव, या ट्रेज़ोर सुइट से अपडेट जोपतासत्र-कलाकृति पुन: उपयोग या ऐप-प्रतिस्थापन पैटर्न।

क्यों टेलीग्राम सत्र नियंत्रण एक ट्रेडिंग-वर्कफ़्लो जोखिम गुणक है

मैं इसे एक कार्यप्रवाह जोखिम के रूप में मानता हूँ, न कि केवल एक खाता-सुरक्षा नोट के रूप में। टेलीग्राम डेस्कटॉप वह जगह है जहाँ डील फ्लो, OTC परिचय, और "त्वरित पुष्टि" संचालन संदेश होते हैं, और सत्र नियंत्रण एक हमलावर को उस चैनल के अंदर एक विश्वसनीय आवाज़ देता है।

महत्वपूर्ण सीमा यह है कि क्या यह एकल पुन: उत्पादित श्रृंखला से एक नामित परिवार में विकसित होता है जिसमें IOC और ज्ञात वितरण मार्ग होते हैं। यदि ऐसा होता है, तो सेटअप संरचनात्मक दिखाई देने लगता है न कि कथा-प्रेरित, क्योंकि टेलीग्राम सत्र पुन: उपयोग और बहु-वालेट हार्वेस्टिंग कई स्वतंत्र तरीकों को बनाने में मदद करता है जिससे फंड तक पहुंचा जा सके, यहां तक कि जब एक उपयोगकर्ता पासवर्ड बदलता है।

स्रोत