A gloved hand reaches for two black devices on a
Tiền điện tử

SlowMist công bố phần mềm đánh cắp thông tin trên macOS

Chuỗi này kết hợp việc chiếm đoạt phiên Telegram với Keychain và thu thập dữ liệu ví, cho phép giải mã ngoại tuyến hoặc các ứng dụng giả mạo Ledger/Trezor.

Bởi AI News Crypto Editorial Team4 phút đọc

SlowMist đã công bố một phần mềm độc hại đánh cắp thông tin trên macOS có thể chiếm đoạt Telegram Desktop bằng cách sao chép và sử dụng lại dữ liệu phiên địa phương đã được xác thực. Chiến dịch này được thiết kế để chuyển từ việc đánh cắp thông tin xác thực sang việc đánh cắp nhiều ví thông qua các nỗ lực giải mã ngoại tuyến hoặc các ứng dụng giả mạo Ledger và Trezor.

Điểm chính

  • Một phần mềm đánh cắp thông tin trên macOS có thể chiếm đoạt Telegram Desktop bằng cách sao chép dữ liệu phiên địa phương đã được xác thực và khôi phục nó trên một máy Mac khác.
  • Xác thực hai bước của Telegram không ngăn chặn con đường chiếm đoạt cụ thể này khi kẻ tấn công sử dụng lại một artefact phiên đã tồn tại.
  • Phần mềm độc hại thu thập bí mật Keychain của macOS, cookie Safari, Apple Notes, dữ liệu Telegram Desktop và cơ sở dữ liệu ví liên quan đến hơn một tá ví.
  • Quyền truy cập ví bị đánh cắp có thể được kiếm tiền hóa bằng cách giải mã ngoại tuyến sử dụng mật khẩu đã thu thập hoặc bằng cách thay thế bằng các ứng dụng giả mạo Ledger Live và Trezor Suite để thu thập cụm từ khôi phục.

SlowMist Tái hiện việc sử dụng lại phiên Telegram Desktop trên macOS

SlowMist cho biết họ đã tái hiện một chuỗi tấn công trong một môi trường cô lập nơi phần mềm đánh cắp thông tin trên macOS chiếm đoạt Telegram Desktop mà không cần thực hiện đăng nhập mới. Cơ chế này là sử dụng lại phiên: phần mềm độc hại sao chép dữ liệu phiên Telegram Desktop địa phương đã đại diện cho trạng thái đã được xác thực, sau đó trạng thái phiên đó có thể được khôi phục trên một máy Mac khác.

Trong các thử nghiệm, các nhà nghiên cứu đã khôi phục dữ liệu phiên Telegram Desktop bị đánh cắp trên một máy Mac khác mà không cần nhập số điện thoại, mã xác minh hoặc mật khẩu xác thực hai bước. Chi tiết đó quan trọng cho an ninh hoạt động vì nó định hình xác thực hai bước của Telegram như một lớp tăng cường đăng nhập, không phải là một biện pháp phòng thủ chống lại một điểm cuối bị xâm phạm nơi các artefact phiên có thể bị rò rỉ.

SlowMist đã tóm tắt giới hạn một cách trực tiếp: “Xác thực hai bước của Telegram không ngăn chặn cuộc tấn công vì phần mềm độc hại sử dụng lại một phiên địa phương đã được xác thực thay vì tạo một đăng nhập mới.”

Cách mà Infostealer thu thập cơ sở dữ liệu Keychain, Cookies, Ghi chú và Ví

Chiến dịch không chỉ tập trung vào Telegram. SlowMist mô tả một cuộc quét dữ liệu macOS rộng rãi lấy từ Keychain macOS, cookies Safari, Apple Notes, Telegram Desktop và các cơ sở dữ liệu liên quan đến hơn một chụcví tiền điện tử.

Sau khi thu thập mật khẩu và phiên đã xác thực, phần mềm độc hại sao chép dữ liệu phiên Telegram Desktop đã xác thực của người dùng, cơ sở dữ liệu ví và dữ liệu tiện ích mở rộng ví trên trình duyệt. Tập hợp mục tiêu trải dài qua nhiều kiểu giữ, cho thấy người điều hành đang tối ưu hóa cho bất cứ thứ gì có trên Mac của nạn nhân thay vì chỉ đặt cược vào một loại ví.

SlowMist cho biết phần mềm độc hại nhắm mục tiêu vào các ví phần mềm bao gồm Exodus, Atomic, Electrum, Wasabi và Monero. Nó cũng nhắm đến các ứng dụng ví phần cứng đi kèm, nêu tên Ledger Live và Trezor Suite, và tìm kiếm dữ liệu ví được lưu trữ bởi các khách hàng nút đầy đủ bao gồm Bitcoin Core, LitecoinCore, Dash Core và Dogecoin Core.

Hai con đường đánh cắp: Giải mã ví ngoại tuyến so với ứng dụng Ledger/Trezor giả.

SlowMist đã phác thảo hai con đường kiếm tiền khác nhau khi dữ liệu được thu thập.

Đầu tiên là sự xâm phạm tệp ví trực tiếp. Kẻ tấn công có thể cố gắng giải mã cơ sở dữ liệu ví bị đánh cắp ngoại tuyến bằng cách sử dụng mật khẩu thu thập từ thiết bị bị nhiễm. Điều này biến một sự xâm phạm điểm cuối một lần thành một nỗ lực bẻ khóa kéo dài hơn mà không còn cần truy cập vào máy của nạn nhân.

Thứ hai là việc thu thập cụm từ khôi phục thông qua việc thay thế ứng dụng. SlowMist cho biết kẻ tấn công có thể thay thế các ứng dụng Ledger và Trezor hợp pháp bằng các phiên bản giả mạo khiến người dùng nhập cụm từ khôi phục của họ. Một cụm từ hạt giốnglà kiểm soát hoàn toàn, vì vậy con đường này được thiết kế để vượt qua các biện pháp bảo vệ mà người dùng mong đợi từ ví phần cứng bằng cách nhắm vào phần mềm đi kèm và hành vi của người dùng.

Điều gì sẽ xác nhận rủi ro rộng hơn: IOC, vector lây nhiễm và lạm dụng Telegram tiếp theo.

Đoạn trích không bao gồm tên gia đình phần mềm độc hại, thuộc tính của nhà điều hành, chỉ số xâm phạm như băm, miền hoặc đường dẫn tệp, hoặc bất kỳ số lượng nạn nhân nào. Những khoảng trống đó là sự khác biệt giữa một bài viết kỹ thuật được kiểm soát và một chiến dịch mà các nhà giao dịch có thể tích cực săn lùng trên các đội tàu.

Các tín hiệu xác nhận tiếp theo rất đơn giản. Đầu tiên, liệu SlowMist hoặc các nhà nghiên cứu khác có công bố IOC hoặc một nhãn gia đình cho phép các nhà bảo vệ nhóm các trường hợp lại với nhau hay không. Thứ hai, việc tiết lộ vector phân phối, bao gồm việc nhiễm ban đầu đến từ các ứng dụng bị trojan hóa, lừa đảo, hay quảng cáo độc hại, và liệu nó có nhằm vào các vòng Telegram có nhiều tiền điện tử hay không.

Thứ ba, bất kỳ báo cáo sự cố tiếp theo nào rõ ràng trích dẫn các phiên Telegram Desktop đã được khôi phục như là phương thức truy cập, thay vì các đăng nhập mới. Thứ tư, các cập nhật từ Telegram Desktop, Ledger Live, hoặc Trezor Suite màgiải quyếtviệc tái sử dụng artefact phiên hoặc mô hình thay thế ứng dụng.

Tại sao Kiểm Soát Phiên Telegram Là Một Nhân Tố Rủi Ro Quy Trình Giao Dịch

Tôi coi đây là một rủi ro quy trình, không chỉ là một ghi chú về bảo mật tài khoản. Telegram Desktop là nơi diễn ra dòng giao dịch, giới thiệu OTC, và các tin nhắn hoạt động 'xác nhận nhanh', và kiểm soát phiên cho phép kẻ tấn công có một tiếng nói đáng tin cậy bên trong kênh đó.

Ngưỡng quan trọng là liệu điều này có phát triển từ một chuỗi được tái tạo đơn lẻ thành một gia đình được đặt tên với IOC và một con đường phân phối đã biết hay không. Nếu điều đó giữ vững, cấu hình bắt đầu trông giống như cấu trúc hơn là dựa trên câu chuyện vì việc tái sử dụng phiên Telegram cộng với việc thu hoạch nhiều ví tạo ra nhiều cách độc lập để tiếp cận quỹ, ngay cả sau khi người dùng thay đổi mật khẩu.

Nguồn