Ļaunprātīga programmatūra operētājsistēmā macOS nozog Telegram sesijas un iztukšo kriptovalūtas makus

MacOS lietotājiem, kuri izmanto Telegram un pārvalda kriptovalūtas, jāievēro īpaša piesardzība. Blockchain drošības firma SlowMist ir identificējusi ļaunprātīgas programmatūras kampaņu, kas apvieno Telegram Desktop sesiju zādzību ar uzbrukumu digitālajiem makiemizmantojot mūsu uzticību vietējām lietojumprogrammām. Ļaunprātīgajam kodam nav vajadzīgas sarežģītas ievainojamības: tas paļaujas uz sistēmā jau saglabāto datu izvilkšanu, lai pārņemtu kontroli pār kontiem un aktīviem.

Saskaņā ar SlowMist analīzi ļaunprogrammatūra apkopo informāciju no macOS atslēgu piekariņa, Safari sīkfailiem, Apple Notes un vietējiem Telegram Desktop failiem. Arī skenē vairāk nekā duci kriptovalūtu maka lietotņu datu bāzesgan programmatūra, gan aparatūra. Kad uzbrucējs ir ieguvis šos datus, viņš var mēģināt atšifrēt makus bezsaistē vai tieši piemānīt lietotāju, lai viņš nodotu atkopšanas frāzi.

Telegram sesiju triks: nav nepieciešami kodi

Viens no satraucošākajiem atklājumiem ir tas Telegram divpakāpju pārbaude neaptur uzbrukumu. Ļaunprātīga programmatūra nesāk jaunu sesiju, bet gan kopē jau autentificēto lietotāja sesiju savā Mac datorā. SlowMist testēšanā, atjaunojot šos failus citā datorā, konts tika atvērts, neprasot tālruņa numuru, verifikācijas kodu vai divu faktoru paroli. Tas nozīmē, ka uzbrucējs var lasīt sarunas, sazināties ar citiem lietotājiem un no turienes uzsākt sociālās inženierijas uzbrukumus, lai iegūtu vairāk informācijas.

Turklāt ļaunprātīga programmatūra aizstāt likumīgās lietotnes, piemēram, Ledger Live un Trezor Suite, ar viltotām versijām. Šīs kopijas nepilda reālas maka funkcijas, bet gan atver uzbrucēju kontrolētu tīmekļa logu. Ja upuris ievada atkopšanas frāzi, uzbrucējs iegūst pilnīgu kontroli pār līdzekļiem, neko neatšifrējot. Šī metode ir līdzīga tam, kā darbojas viltots ChatGPT ceļvedis, kas instalē ļaunprātīgu programmatūru Mac datorā, lai apmānītu lietotāju.

Maki uzmanības centrā

Mērķa lietojumprogrammu saraksts ir plašs. Tajā ir iekļauti programmatūras maki, piemēram, Exodus, Atomic, Electrum, Wasabi un Monero, kā arī darbvirsmas lietojumprogrammas no Ledger un Trezor. Arī ir paredzēts pilna mezgla klientiem, piemēram, Bitcoin Core, Litecoin Core, Dash Core un Dogecoin Corejau vairāk nekā 200 pārlūkprogrammas paplašinājumu, kuru pamatā ir Chromium. Ļaunprātīga programmatūra meklē jebkādas datu pēdas, kuras var apvienot ar parolēm, kas nozagtas no atslēgu piekariņa vai piezīmēm, lai piekļūtu līdzekļiem.

SlowMist brīdina, ka risks neaprobežojas tikai ar programmatūras makiem. Pat ja tiek izmantots aparatūras maks, darbvirsmas lietotni var viltot, un atkopšanas frāzi var atklāt ja lietotājs to ievada viltotā versijā. Tāpēc ieteicams vienmēr instalēt lietojumprogrammas no oficiāliem avotiem un veikt drošības skenēšanu operētājsistēmā macOS, lai pārbaudītu sistēmas integritāti.

Ko darīt, ja jums ir aizdomas, ka jūsu Mac ir inficēts

SlowMist eksperti piedāvā virkni konkrētu darbību, lai samazinātu bojājumus. Pirmā lieta ir aizveriet visas aktīvās Telegram sesijas no citas uzticamas ierīces. Pēc tam mainiet divpakāpju verifikācijas paroli un Telegram Desktop piekļuves kodu. Nepietiek ar konta paroles pagriešanu; Jums ir jāģenerē jauna sākuma frāze tīrā ierīcē un jāpārskaita visi līdzekļi uz jaunām adresēm.

Tas ir arī būtiski mainiet paroles, kas saglabātas atslēgu piekariņā, Apple Notes un pārlūkprogrammāsjo īpaši e-pasta, apmaiņas un mākoņpakalpojumu. Ja uzbrucējam ir bijusi piekļuve šiem datiem, viņi tos var izmantot papildu uzbrukumiem. Prioritāte ir rīkoties ātri, jo kompromitēta Telegram sesija var būt vārti uz visu lietotāja digitālo dzīvi.

Šīs kampaņas demonstrē, ka kriptovalūtu drošība nav atkarīga tikai no blokķēdes tehnoloģijas, bet arī no ierīces digitālās higiēnas. Inficēts Mac var kļūt par Trojas zirgu, dodot uzbrucējam atslēgas uz jūsu kontiem un līdzekļiem bez nepieciešamības veikt sarežģītus ekspluatāciju. Profilakse un ātra reaģēšana ir labākā aizsardzība.