macOS 惡意程式劫持 Telegram 會話並鎖定加密貨幣錢包

BTC-1.73%
LTC0.33%
DASH0.05%
DOGE-1.99%

慢霧(SlowMist)發現一款針對 macOS 的竊取資訊惡意程式,會劫持 Telegram Desktop 的工作階段並入侵加密貨幣錢包。惡意程式會從 macOS 的「金鑰串(Keychain)」、Safari Cookie、Apple Notes、Telegram Desktop,以及與超過十幾個加密貨幣錢包相關的資料庫中竊取資料,使攻擊者能在離線狀態下解密被盜的錢包資料庫,或將合法的硬體錢包應用程式替換為假版本。慢霧在隔離環境中重現了攻擊鏈,並確認 Telegram 的雙重驗證(two-step verification)無法阻止該攻擊,因為惡意程式會重用已驗證的本機工作階段,而不是建立新的登入。

慢霧辨識出 macOS 惡意程式的資料竊取方法

在收集密碼與已驗證的工作階段後,惡意程式會複製使用者的已驗證 Telegram Desktop 工作階段資料、錢包資料庫,以及瀏覽器錢包擴充功能資料。慢霧表示,攻擊者接著可能嘗試使用從受感染裝置竊取到的密碼,在離線狀態下解密被盜的錢包資料庫,或將合法的 Ledger 與 Trezor 應用程式替換為假版本,騙使用者輸入其復原助記詞。該惡意程式整合多種技術,形成協調一致的攻擊鏈,使攻擊者能採用不同方式來攻陷加密貨幣帳戶與錢包。

惡意程式鎖定軟體與硬體加密貨幣錢包

根據慢霧的說法,該惡意程式會鎖定軟體錢包,包括 Exodus、Atomic、Electrum、Wasabi 與 Monero;也會鎖定硬體錢包應用程式,例如 Ledger Live 與 Trezor Suite。此外,它還會搜尋由全節點(full-node)用戶端所儲存的錢包資料,包括 Bitcoin Core、Litecoin Core、Dash Core 與 Dogecoin Core。

Telegram 雙重驗證無法阻止工作階段劫持

根據慢霧的說法,Telegram 的雙重驗證無法阻止此攻擊,因為惡意程式會重用已驗證的本機工作階段,而不是建立新的登入。測試中,研究人員在另一台 Mac 上還原被竊的 Telegram Desktop 工作階段資料,且未輸入電話號碼、驗證碼或雙重驗證密碼。

慢霧建議已受侵害裝置採取立即的安全措施

慢霧敦促懷疑其裝置已遭入侵的使用者,立即終止現有的 Telegram 工作階段,建立新的受信任登入,並更改其 Telegram 雙重驗證密碼與 Telegram Desktop 密碼(Passcode)。該公司也建議在乾淨裝置上產生新的復原助記詞,並將所有資產轉移到新的地址。

常見問題(FAQ)

根據慢霧,macOS 惡意程式會竊取哪些資料?

惡意程式會從 macOS 的「金鑰串(Keychain)」、Safari Cookie、Apple Notes、Telegram Desktop,以及與超過十幾個加密貨幣錢包相關的資料庫中竊取資料,包括已驗證的 Telegram Desktop 工作階段資料、錢包資料庫,以及瀏覽器錢包擴充功能資料。

為什麼 Telegram 雙重驗證無法阻止這次惡意程式攻擊?

Telegram 的雙重驗證無法阻止該攻擊,因為惡意程式會重用已驗證的本機工作階段,而不是建立新的登入。慢霧研究人員在另一台 Mac 上還原了被竊的 Telegram Desktop 工作階段資料,但未輸入電話號碼、驗證碼或雙重驗證密碼。

若使用者懷疑裝置遭入侵,慢霧建議哪些安全措施?

慢霧敦促使用者立即終止現有的 Telegram 工作階段,建立新的受信任登入,更改 Telegram 雙重驗證密碼與 Telegram Desktop 密碼(Passcode),在乾淨裝置上產生新的復原助記詞,並將所有資產轉移到新的地址。

免責聲明:本頁面資訊可能來自第三方來源,僅供參考,不代表 Gate 的立場或觀點,亦不構成任何財務、投資或法律建議。虛擬資產交易具有高風險,請勿僅依賴本頁資訊作出決策。詳情請參閱 免責聲明
回覆
0/400
暫無回覆