A gloved hand reaches for two black devices on a
Kripto

SlowMist, Telegram oturumlarıyla cüzdanları hedef alıyor

Zincir, Telegram oturumunun ele geçirilmesini Keychain ve cüzdan verisi toplama ile birleştirerek çevrimdışı şifre çözme veya sahte Ledger/Trezor uygulamalarını mümkün kılıyor.

SlowMist, Telegram Desktop'u ele geçirebilen ve zaten kimlik doğrulaması yapılmış yerel oturum verilerini kopyalayıp yeniden kullanan bir macOS bilgi hırsızını açıkladı. Aynı kampanya, çalınan kimlik bilgilerini çevrimdışı şifre çözme girişimleri veya sahte Ledger ve Trezor uygulamaları aracılığıyla çoklu cüzdan hırsızlığına yönlendirilmek üzere tasarlanmıştır.

Ana Noktalar

  • Bir macOS bilgi hırsızı, kimlik doğrulaması yapılmış yerel oturum verilerini kopyalayarak Telegram Desktop'u ele geçirebilir ve bunu başka bir Mac'te geri yükleyebilir.
  • Telegram'ın iki adımlı doğrulaması, bir saldırgan mevcut bir oturum nesnesini yeniden kullandığında bu belirli ele geçirme yolunu durdurmaz.
  • Kötü amaçlı yazılım, macOS Anahtar Zinciri sırlarını, Safari çerezlerini, Apple Notları'nı, Telegram Desktop verilerini ve ondan fazla cüzdanla ilişkili cüzdan veritabanlarını toplar.
  • Çalınan cüzdan erişimi, toplanan şifreleri kullanarak çevrimdışı şifre çözme ile veya sahte Ledger Live ve Trezor Suite uygulamalarını değiştirerek kurtarma ifadelerini yakalamak suretiyle paraya dönüştürülebilir.

SlowMist, macOS'ta Telegram Desktop oturumunu yeniden kullanmayı yeniden üretti

SlowMist, bir macOS bilgi hırsızının Telegram Desktop'u yeni bir oturum açmadan ele geçirdiği izole bir ortamda bir saldırı zincirini yeniden ürettiğini söyledi. Mekanizma oturum yeniden kullanımıdır: kötü amaçlı yazılım, zaten kimlik doğrulaması yapılmış bir durumu temsil eden yerel Telegram Desktop oturum verilerini kopyalar, ardından bu oturum durumu başka bir Mac'te geri yüklenebilir.

Testlerde, araştırmacılar çalınan Telegram Desktop oturum verilerini başka bir Mac'te telefon numarası, doğrulama kodu veya iki adımlı doğrulama şifresi girmeden geri yüklediler. Bu detay, Telegram iki adımlı doğrulamasını yeni bir oturum açma katmanı olarak çerçevelediği için operasyonel güvenlik açısından önemlidir, çünkü oturum nesnelerinin dışarıya sızdırılabileceği bir tehlikeye karşı bir savunma değil.

SlowMist sınırlamayı doğrudan özetledi: “Telegram iki adımlı doğrulama, kötü amaçlı yazılım kimlik doğrulaması yapılmış bir yerel oturumu yeniden kullandığı için saldırıyı önlemiyor.”

Infostealer'ın Anahtar Zinciri, Çerezler, Notlar ve Cüzdan Veritabanlarını Nasıl Topladığı

Kampanya sadece Telegram etrafında dar bir şekilde inşa edilmemiştir. SlowMist, macOS Anahtar Zinciri, Safari çerezleri, Apple Notlar, Telegram Masaüstü ve ondan fazla cüzdanla ilişkili veritabanlarından veri toplayan geniş bir macOS veri taramasını tanımladı.kriptopara cüzdanlarını.

Şifreleri ve kimlik doğrulanmış oturumları topladıktan sonra, kötü amaçlı yazılım kullanıcıların kimlik doğrulanmış Telegram Masaüstü oturum verilerini, cüzdan veritabanlarını ve tarayıcı cüzdan uzantısı verilerini kopyalar. Hedef seti, bir kurbanın Mac'inde mevcut olan her şeye optimize edildiğini öne sürerek birden fazla saklama tarzını kapsar.

SlowMist, kötü amaçlı yazılımın Exodus, Atomic, Electrum, Wasabi ve Monero gibi yazılım cüzdanlarını hedef aldığını söyledi. Ayrıca Ledger Live ve Trezor Suite gibi donanım cüzdanı yardımcı uygulamalarını da hedef alıyor ve Bitcoin Core dahil olmak üzere tam düğüm istemcileri tarafından saklanan cüzdan verilerini arıyor.LitecoinCore, Dash Core ve Dogecoin Core.

İki Hırsızlık Yolu: Çevrimdışı Cüzdan Şifre Çözümü vs Sahte Ledger/Trezor Uygulamaları

SlowMist, veriler toplandığında iki ayrı para kazanma yolunu özetledi.

Birincisi, doğrudan cüzdan dosyası ihlali. Saldırganlar, enfekte olmuş cihazdan elde edilen şifreleri kullanarak çalınan cüzdan veritabanlarını çevrimdışı olarak şifre çözmeye çalışabilirler. Bu, bir kez gerçekleşen bir uç nokta ihlalini, artık kurbanın makinesine erişim gerektirmeyen daha uzun süreli bir kırma girişimine dönüştürüyor.

İkincisi, uygulama değiştirme yoluyla kurtarma ifadesinin ele geçirilmesi. SlowMist, saldırganların, kullanıcıları kurtarma ifadelerini girmeye kandıran sahte versiyonlarla meşru Ledger ve Trezor uygulamalarını değiştirebileceğini söyledi. Bir seed phrasetam kontrol sağlar, bu nedenle bu yol, kullanıcıların donanım cüzdanlarından beklediği korumaları atlatmak için yardımcı yazılımı ve kullanıcının davranışını hedef alacak şekilde tasarlanmıştır.

Daha Geniş Riskin Onaylanması: IOC'ler, Enfeksiyon Vektörü ve Takip Eden Telegram Suistimali

Alıntı, bir kötü amaçlı yazılım ailesi adı, operatör ataması, hash'ler, alan adları veya dosya yolları gibi ihlal göstergeleri veya herhangi bir kurban sayısı içermiyordu. Bu boşluklar, sınırlı bir teknik yazım ile kampanya tüccarlarının filolar arasında aktif olarak avlanabileceği bir teknik yazım arasındaki farktır.

Sonraki onaylayıcı sinyaller oldukça basit. İlk olarak, SlowMist veya diğer araştırmacıların, savunucuların vakaları gruplandırmasına olanak tanıyan IOC'leri veya bir aile etiketini yayınlayıp yayınlamadığı. İkincisi, ilk enfeksiyonun trojanize edilmiş uygulamalardan, oltalama veya kötü amaçlı reklamcılıktan gelip gelmediği ve bunun kripto ağırlıklı Telegram çevrelerine mi hedeflendiği dahil olmak üzere dağıtım vektörünün açıklanması.

Üçüncüsü, açıkça erişim yöntemi olarak yeniden yüklenmiş Telegram Desktop oturumlarını belirten herhangi bir takip olay raporu, yeni girişler yerine. Dördüncüsü, Telegram Desktop, Ledger Live veya Trezor Suite'ten gelen güncellemeler.adresoturum-artifaktı yeniden kullanma veya uygulama-değiştirme modeli.

Telegram Oturum Kontrolü Neden Bir Ticaret-İş Akışı Risk Çarpanı?

Bunu sadece bir hesap güvenliği dipnotu değil, bir iş akışı riski olarak ele alıyorum. Telegram Desktop, işlem akışının, OTC tanıtımlarının ve "hızlı onay" operasyonel mesajlarının gerçekleştiği yerdir ve oturum kontrolü, bir saldırgana o kanalda güvenilir bir ses verir.

Önemli olan eşik, bunun tek bir yeniden üretilen zincirden, IOC'ler ve bilinen bir dağıtım yolu ile adlandırılmış bir aileye evrilip evrilmediğidir. Eğer bu geçerliyse, yapı anlatı odaklı olmaktan çok yapısal görünmeye başlar çünkü Telegram oturumunun yeniden kullanımı ve çoklu cüzdan toplama, bir kullanıcının şifrelerini değiştirmesinden sonra bile fonlara ulaşmanın birden fazla bağımsız yolunu oluşturur.

Kaynaklar