A macOS-es kártevő Telegram-munkameneteket és tárcákat céloz
A SlowMist által vizsgált macOS-es kártevő ellophatja a Telegram aktív munkameneteit, valamint több kriptotárca és böngésző helyben tárolt adatait is.
Röviden:
- Egy fertőzött Mac gépről a támadók hitelesített Telegram-munkameneteket és tárcaadatbázisokat is megszerezhetnek.
- A kártevő több mint egy tucat tárcát céloz, köztük az Exodust és a Ledger Live-ot.
- A SlowMist tesztjében telefonszám és ellenőrző kód nélkül állították helyre az ellopott Telegram-munkamenetet.
- A SlowMist az aktív Telegram-munkamenetek lezárását, majd tiszta eszközön új helyreállítási kifejezés létrehozását javasolja.
A SlowMist tesztje feltárta az összehangolt adatlopás teljes láncát
A macOS rendszert és a kriptotárcákat célzó kártevő nem egyetlen alkalmazásra összpontosít. A macOS Keychain jelszavai mellett Safari-sütiket, Apple Notes-bejegyzéseket, böngészős tárcabővítmények adatait és a helyi alkalmazások adatbázisait gyűjti össze.
A megszerzett információkat a támadók többféleképpen használhatják fel. A SlowMist elkülönített tesztkörnyezetben reprodukálta a teljes támadási láncot, beleértve a jelszavak és a már hitelesített helyi munkamenetek megszerzését is.
Az összehangolt adatgyűjtés azért veszélyes, mert ugyanarról a fertőzött eszközről több fiók és tárca védelméhez szükséges információ kerülhet illetéktelen kézbe.
A macOS-es kártevő több mint egy tucat kriptotárca adatait keresi
A célpontok között az Exodus, az Atomic, az Electrum, a Wasabi és a Monero szoftveres tárcája is szerepel. A kártevő emellett a Ledger Live és a Trezor Suite alkalmazásokhoz tartozó adatokat is keresi.
A teljes csomópontot futtató kliensek sem maradnak ki: a Bitcoin (63 006 dollár) hálózatához készült Bitcoin Core mellett a Litecoin Core, a Dash Core és a Dogecoin Core helyi állományai is célpontok. A támadók az ellopott jelszavakkal offline próbálhatják visszafejteni a megszerzett adatbázisokat.
Másik lehetséges módszerként a valódi Ledger- és Trezor-alkalmazást hamis verzióra cserélhetik, amely a helyreállítási kifejezés megadására próbálja rávenni a felhasználót.
A Telegram kétlépcsős azonosítása nem állítja meg a munkamenet átvételét
A Telegram kétlépcsős azonosítása azért nem nyújt védelmet ebben a helyzetben, mert a támadó nem kezdeményez új bejelentkezést. Ehelyett a Telegram Desktop helyben tárolt, korábban már hitelesített munkamenetadatait másolja át egy másik Mac gépre.
Az új belépéshez kapcsolódó ellenőrzések így nem aktiválódnak. A SlowMist kísérletében az átvitt adatok elegendőnek bizonyultak ahhoz, hogy a másik gépen folytassák a meglévő munkamenetet.
A fiók hitelesítési adatai és a már engedélyezett munkamenet tehát elkülönülnek egymástól: az erős jelszó és a kétlépcsős azonosítás önmagában nem érvényteleníti az ellopott helyi munkamenetet.
A SlowMist a munkamenetek lezárását és új helyreállítási kifejezés létrehozását javasolja
Feltételezett fertőzésnél a SlowMist első lépésként az összes meglévő Telegram-munkamenet azonnali megszüntetését ajánlja. Ezután megbízható eszközről újra be kell jelentkezni, továbbá módosítani kell a kétlépcsős azonosítás jelszavát és a Telegram Desktop belépési kódját.
A tárcáknál önmagában a jelszócsere nem feltétlenül elég, ha a támadó megszerezhette a helyreállítási kifejezést vagy az azt bekérő hamis alkalmazást telepített. A biztonsági cég ezért tiszta eszközön létrehozott új helyreállítási kifejezést és új címeket javasol.
A meglévő kriptoeszközöket ezekre az új címekre kell átmozgatni, hogy a korábban megszerzett adatokkal a támadó ne férhessen hozzá az eszközökhöz.
Hogyan értelmezzük ezt a hírt?
Ez a kártevő arra emlékeztet, hogy a kriptós biztonság leggyengébb pontja gyakran maga a használt számítógép. Ha egy Mac fertőzött, az erős Telegram-jelszó, a kétlépcsős azonosítás vagy akár a hardveres tárca sem ad teljes védelmet: a már hitelesített munkamenet és a helyben tárolt adatok is értékes célpontok lehetnek.
A SlowMist javaslata helyes irány: feltételezett fertőzésnél nem elég egy jelszócsere. A Telegram-munkameneteket le kell zárni, a tárcát pedig tiszta eszközön, új helyreállítási kifejezéssel és új címekkel érdemes újra felépíteni. Ez kényelmetlen folyamat, de egy kompromittálódott gépnél a gyors, teljes körű helyreállítás sokkal többet ér, mint a félmegoldások.
Mit érdemes még tudni?
Mi az a Telegram-munkamenet?
A Telegram-munkamenet olyan helyben tárolt hitelesítési adat, amely igazolja, hogy egy adott eszköz már be van jelentkezve a fiókba. Ha ezt ellopják és felhasználható formában átmásolják, a támadó új belépési kód nélkül is hozzáférhet a meglévő munkamenethez.
Mi az a helyreállítási kifejezés?
A helyreállítási kifejezés, más néven seed phrase, több szóból álló titkos sorozat, amellyel egy kriptotárca visszaállítható. Aki megszerzi ezt a kifejezést, jellemzően a tárcában lévő eszközök felett is rendelkezhet.
Mit jelent, hogy egy tárcaadatbázist offline próbálnak visszafejteni?
A támadó a megszerzett tárcafájlokat a saját eszközén próbálja megnyitni vagy feltörni, internetkapcsolat nélkül. Ehhez felhasználhatja a fertőzött gépről ellopott jelszavakat is.
Mi a különbség a hardveres tárca és a hozzá tartozó alkalmazás között?
A hardveres tárca külön eszköz, amely a privát kulcsokat elkülönítve tárolja, míg a Ledger Live vagy a Trezor Suite a kezelésére szolgáló számítógépes alkalmazás. Hamis alkalmazás esetén a támadó megpróbálhatja rávenni a felhasználót, hogy kiadja a helyreállítási kifejezését.
Tőzsde
A Bybit többségi részesedést szerzett a NOBI-ban, amely Bybit Indonesia néven működik tovább. A nyitáskor azonnal 500 kereskedési pár érhető el.
Bitcoin
Az amerikai spot Bitcoin ETF-eknél az új beáramlás július mérlegét pozitívba fordította, miután júniusban 4,51 milliárd dollár távozott az alapokból.
Tőzsde
A Citadel Securities 20 milliárd dolláros értékelés mellett fektetett be a Crypto.com-ba, amely tokenizált értékpapírokkal terjeszkedne tovább.
Kereskedés
Amíg a kriptotőzsdék forgalma visszaesett, a predikciós piacok 113,8 milliárd dolláros negyedéves forgalmat értek el a sport és politika miatt.







