慢霧(SlowMist)發現一款針對 macOS 的竊取資訊惡意程式,會劫持 Telegram Desktop 的工作階段並入侵加密貨幣錢包。惡意程式會從 macOS 的「金鑰串(Keychain)」、Safari Cookie、Apple Notes、Telegram Desktop,以及與超過十幾個加密貨幣錢包相關的資料庫中竊取資料,使攻擊者能在離線狀態下解密被盜的錢包資料庫,或將合法的硬體錢包應用程式替換為假版本。慢霧在隔離環境中重現了攻擊鏈,並確認 Telegram 的雙重驗證(two-step verification)無法阻止該攻擊,因為惡意程式會重用已驗證的本機工作階段,而不是建立新的登入。
在收集密碼與已驗證的工作階段後,惡意程式會複製使用者的已驗證 Telegram Desktop 工作階段資料、錢包資料庫,以及瀏覽器錢包擴充功能資料。慢霧表示,攻擊者接著可能嘗試使用從受感染裝置竊取到的密碼,在離線狀態下解密被盜的錢包資料庫,或將合法的 Ledger 與 Trezor 應用程式替換為假版本,騙使用者輸入其復原助記詞。該惡意程式整合多種技術,形成協調一致的攻擊鏈,使攻擊者能採用不同方式來攻陷加密貨幣帳戶與錢包。
根據慢霧的說法,該惡意程式會鎖定軟體錢包,包括 Exodus、Atomic、Electrum、Wasabi 與 Monero;也會鎖定硬體錢包應用程式,例如 Ledger Live 與 Trezor Suite。此外,它還會搜尋由全節點(full-node)用戶端所儲存的錢包資料,包括 Bitcoin Core、Litecoin Core、Dash Core 與 Dogecoin Core。
根據慢霧的說法,Telegram 的雙重驗證無法阻止此攻擊,因為惡意程式會重用已驗證的本機工作階段,而不是建立新的登入。測試中,研究人員在另一台 Mac 上還原被竊的 Telegram Desktop 工作階段資料,且未輸入電話號碼、驗證碼或雙重驗證密碼。
慢霧敦促懷疑其裝置已遭入侵的使用者,立即終止現有的 Telegram 工作階段,建立新的受信任登入,並更改其 Telegram 雙重驗證密碼與 Telegram Desktop 密碼(Passcode)。該公司也建議在乾淨裝置上產生新的復原助記詞,並將所有資產轉移到新的地址。
根據慢霧,macOS 惡意程式會竊取哪些資料?
惡意程式會從 macOS 的「金鑰串(Keychain)」、Safari Cookie、Apple Notes、Telegram Desktop,以及與超過十幾個加密貨幣錢包相關的資料庫中竊取資料,包括已驗證的 Telegram Desktop 工作階段資料、錢包資料庫,以及瀏覽器錢包擴充功能資料。
為什麼 Telegram 雙重驗證無法阻止這次惡意程式攻擊?
Telegram 的雙重驗證無法阻止該攻擊,因為惡意程式會重用已驗證的本機工作階段,而不是建立新的登入。慢霧研究人員在另一台 Mac 上還原了被竊的 Telegram Desktop 工作階段資料,但未輸入電話號碼、驗證碼或雙重驗證密碼。
若使用者懷疑裝置遭入侵,慢霧建議哪些安全措施?
慢霧敦促使用者立即終止現有的 Telegram 工作階段,建立新的受信任登入,更改 Telegram 雙重驗證密碼與 Telegram Desktop 密碼(Passcode),在乾淨裝置上產生新的復原助記詞,並將所有資產轉移到新的地址。
相關新聞