A gloved hand reaches for two black devices on a
加密货币

SlowMist揭示macOS信息窃取工具利用Telegram会话盗币

该链将Telegram会话接管与Keychain和钱包数据收集相结合,实现离线解密或伪造Ledger/Trezor应用程序。

作者:AI News Crypto Editorial Team阅读 4 分钟

SlowMist披露了一种macOS信息窃取恶意软件,该恶意软件可以通过复制和重用已经认证的本地会话数据来劫持Telegram Desktop。该活动旨在通过离线解密尝试或假冒Ledger和Trezor应用程序,从被盗凭证转向多钱包盗窃。

关键要点

  • 一种macOS信息窃取器可以通过复制已认证的本地会话数据并在另一台Mac上恢复来接管Telegram Desktop。
  • 当攻击者重用现有会话工件时,Telegram的两步验证并不能阻止这种特定的接管路径。
  • 该恶意软件收集macOS钥匙串秘密、Safari cookies、Apple Notes、Telegram Desktop数据以及与十多个钱包相关的钱包数据库。
  • 被盗钱包的访问可以通过使用收集到的密码进行离线解密来变现,或者通过替换假冒的Ledger Live和Trezor Suite应用程序来捕获恢复短语。

SlowMist在macOS上重现了Telegram Desktop会话重用

SlowMist表示,它在一个隔离环境中重现了一个攻击链,其中macOS信息窃取器在不进行新登录的情况下劫持Telegram Desktop。该机制是会话重用:恶意软件复制已经表示认证状态的本地Telegram Desktop会话数据,然后可以在另一台Mac上恢复该会话状态。

在测试中,研究人员在另一台Mac上恢复了被盗的Telegram Desktop会话数据,而无需输入电话号码、验证码或两步验证密码。这个细节对操作安全至关重要,因为它将Telegram的两步验证框定为登录强化层,而不是针对可以被外泄会话工件的受损终端的防御。

SlowMist直接总结了这个限制:“Telegram的两步验证并不能阻止攻击,因为恶意软件重用了一个已认证的本地会话,而不是创建一个新的登录。”

信息窃取者如何收集钥匙串、Cookies、笔记和钱包数据库

该活动并不局限于Telegram。SlowMist描述了一种广泛的macOS数据扫描,提取macOS钥匙串、Safari Cookies、Apple Notes、Telegram Desktop以及与十多种加密货币钱包相关的数据库。加密货币钱包。

在收集密码和认证会话后,恶意软件复制用户的认证Telegram Desktop会话数据、钱包数据库和浏览器钱包扩展数据。目标集跨越多种托管风格,表明操作员正在优化受害者Mac上存在的内容,而不是押注于一种钱包类型。

SlowMist表示,恶意软件针对包括Exodus、Atomic、Electrum、Wasabi和Monero在内的软件钱包。它还攻击硬件钱包伴侣应用,命名Ledger Live和Trezor Suite,并搜索由全节点客户端存储的钱包数据,包括比特币核心,莱特币核心、Dash核心和狗狗币核心。

两条盗窃路径:离线钱包解密与假Ledger/Trezor应用

SlowMist概述了数据收集后两条不同的货币化路径。

第一条是直接钱包文件的妥协。攻击者可以尝试使用从感染设备中收集的密码离线解密被盗的钱包数据库。这将一次性的终端妥协转变为一个更长时间的破解尝试,不再需要访问受害者的机器。

第二条是通过应用替换捕获恢复短语。SlowMist表示,攻击者可以用假版本替换合法的Ledger和Trezor应用,诱使用户输入他们的恢复短语。一个种子短语是完全控制,因此这条路径旨在通过针对伴随软件和用户行为来绕过用户对硬件钱包的保护预期。

确认更广泛风险的因素:IOC、感染向量和后续Telegram滥用

摘录中没有包括恶意软件家族名称、操作员归属、妥协指标如哈希、域名或文件路径,或任何受害者数量。这些缺口是一个受控技术写作与一个可以在舰队中积极追踪的活动之间的区别。

下一个确认信号很简单。首先,无论是SlowMist还是其他研究人员发布IOC或允许防御者聚类案例的家族标签。其次,披露分发向量,包括初始感染是否来自被植入恶意代码的应用程序、网络钓鱼或恶意广告,以及是否针对加密货币重度使用的Telegram圈子。

第三,任何明确提到恢复的 Telegram Desktop 会话作为访问方式的后续事件报告,而不是新的登录。第四,来自 Telegram Desktop、Ledger Live 或 Trezor Suite 的更新。地址会话工件重用或应用替换模式。

为什么 Telegram 会话控制是交易工作流程的风险倍增器

我将此视为工作流程风险,而不仅仅是账户安全的附注。Telegram Desktop 是交易流、场外交易介绍和“快速确认”操作消息发生的地方,而会话控制则给了攻击者在该频道内一个可信的声音。

重要的阈值是,这是否从单一复制链演变为一个具有IOC和已知分发路径的命名家族。如果这一点成立,设置开始看起来更像是结构性的,而不是叙事驱动的,因为Telegram会话重用加上多钱包收割创造了多种独立的方式来获取资金,即使用户更换密码后也是如此。

来源