SlowMist:macOS恶意软件劫持Telegram会话,瞄准加密货币钱包
区块链安全公司SlowMist报告称,一种macOS信息窃取恶意软件能够入侵Telegram Desktop会话,并以此为跳板,同时攻击软件和硬件加密货币钱包。该报告描述了一条攻击链,它从macOS的多个来源收集凭证和钱包数据,然后利用这些获取的权限,通过不依赖传统方式破解Telegram两步验证的技术,来转移或盗取资金。
SlowMist表示,该恶意软件从macOS钥匙串、Safari cookies、Apple备忘录、Telegram Desktop以及与十多种加密货币钱包相关的数据库文件中提取机密信息。在收集密码和经过身份验证的会话数据后,它会复制Telegram Desktop的会话信息,以及钱包数据库和浏览器钱包扩展数据,从而为后续的账户接管尝试铺平道路。
核心要点
SlowMist报告指出,该恶意软件能够通过重用已认证的本地数据来劫持macOS上的现有Telegram Desktop会话,而无需强制进行新的登录。
除了窃取密码,该恶意软件还针对流行的软件钱包和硬件钱包管理器的钱包数据库及应用数据。
Telegram的两步验证可能无法阻止此攻击,因为恶意软件绕过了验证挑战。
SlowMist概述了两种后续策略:使用窃取的密码离线解密钱包数据库,或者用假冒应用替换钱包应用(例如Ledger/Trezor软件),以捕获恢复短语。
Telegram Desktop如何成为入口点
SlowMist的核心警告是,即使macOS用户启用了两步验证,Telegram Desktop账户也可能被入侵。该公司表示,原因在于架构:恶意软件并非创建需要验证的新登录,而是重用设备上已认证的本地存储会话。
在测试中,SlowMist在另一台Mac上恢复了被盗的Telegram Desktop会话数据,而无需用户输入电话号码、验证码或两步验证密码。这个区别对用户至关重要,因为两步验证旨在保护登录过程,而此方法则针对的是可以迁移到新环境的会话材料。
实际要点是,当恶意软件能够访问凭证和会话文件时,Telegram Desktop应被视为高价值目标。如果攻击者将会话转移到另一台机器,后续步骤——例如获取关联账户的访问权限、交换信息或引导用户执行危险操作——就可以在不会触发应用于新身份验证的保护措施的情况下进行。
钱包数据盗窃涵盖软件钱包、硬件管理器和节点数据库
SlowMist表示,该恶意软件不仅限于Telegram。它还从广泛的来源收集与钱包相关的数据,包括钱包应用程序和全节点客户端。
在钱包方面,SlowMist列举了诸如Exodus、Atomic、Electrum、Wasabi和门罗币等软件钱包。它还指出,恶意软件瞄准了硬件钱包的软件界面,包括Ledger Live和Trezor Suite——这些是管理硬件设备的软件层,通常负责协调用户查看余额和发起交易的方式。
报告称,除了独立钱包,恶意软件还会搜索由全节点客户端存储的钱包数据,并列出受影响的包括比特币核心、莱特币核心、达世币核心和狗狗币核心。对于投资者和交易者来说,其含义显而易见:钱包信息并不只存在于钱包应用中。如果恶意软件能够访问与节点软件相关的本地存储,它可能会发现更多材料,帮助攻击者尝试访问或复制钱包功能。
SlowMist还描述了收集钱包数据库之外的数据,包括Safari cookies和Apple备忘录。这些组件可以增加攻击者持久访问、了解用户行为或提取非存储于专用钱包文件夹的敏感信息的能力。
离线破解与虚假恢复流程
SlowMist称,在获取密码和认证会话数据后,攻击者可以尝试离线解密被盗的钱包数据库。攻击者将使用从受感染设备获取的密码,从而减少可能触发速率限制或其他防御措施的重复在线尝试需求。
SlowMist还描述了第二种方法:用虚假版本替换正版的Ledger和Trezor应用程序。在这种情况下,受害者可能会被诱骗在假冒软件中输入恢复短语——这是一种特别危险的结果,因为恢复短语实际上是访问资金的“万能钥匙”。
SlowMist表示,他们在隔离环境中重现了该攻击链,支持其声称的上述步骤可以作为一个整体执行,而非互不相关的能力。
对用户而言,主要风险在于钱包入侵可能是多阶段的。即使攻击者最初获得了Telegram会话访问权限,恶意软件对钱包数据库和应用程序数据的更广泛收集,也能使其直接尝试提取价值,或转向社交工程以捕获恢复凭证。
为何Telegram的常规保护措施可能不够
SlowMist的发现凸显了账户接管事件中反复出现的主题:安全功能有时会假设一个特定的威胁模型。Telegram的两步验证有助于保护新登录,但恶意软件的方法——携带已认证的本地会话——改变了条件。
攻击者不是在登录时向用户发出挑战,而是使用设备已建立的会话数据进行操作。这使得“我开启了双重验证”在恶意软件已存在并能读取会话相关文件的情况下,变得不那么令人放心。
SlowMist还建议任何怀疑被入侵的用户立即采取操作步骤。它敦促用户终止现有的Telegram会话,创建新的可信登录,并更新Telegram两步验证密码和Telegram Desktop密码。这些步骤旨在使被劫持的会话材料失效,并强制Telegram通过全新的身份验证流程重新建立信任。
该公司进一步建议在干净的设备上生成新的恢复短语,并将资产转移到新地址。其目标是切断受感染钱包状态与需要保护的资产之间的联系。如果钱包应用或恢复材料已暴露,在入侵后重复使用相同的恢复短语,可能会使资金面临风险,因为攻击者已经掌握了足够的信息来重新获得访问权限。
SlowMist的报告提醒我们,加密货币安全不仅仅关乎在纸上安全保管密钥,或在消息应用上启用双重验证。当恶意软件能够在本地同时访问会话数据和钱包数据库时,保护措施必须扩展到设备卫生和快速事件响应。用户应密切关注受入侵的迹象,验证哪些Telegram会话仍然活跃,并在怀疑感染后准备将资金转移到新地址。

资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种