Back to top
  • 공유 分享
  • 인쇄 列印
  • 글자크기 字體大小
已複製網址

macOS 惡意程式盯上 Telegram 會話與加密貨幣錢包 SlowMist:可離線破解錢包檔案、繞過 2 步驟驗證

macOS 惡意程式盯上 Telegram 會話與加密貨幣錢包 SlowMist:可離線破解錢包檔案、繞過 2 步驟驗證 / Tokenpost

根據區塊鏈安全公司「SlowMist」於 24 日(當地時間)發布的最新研究,一款專門攻擊「macOS」的資訊竊取型惡意程式,被發現能同時攔截「Telegram 桌面版」登入「會話」,並鎖定多款主流「加密貨幣錢包」資料,對用戶資產安全構成實質威脅。攻擊者一旦成功入侵裝置,便可打包竊取密碼與認證會話,離線破解錢包檔案,或透過偽造「Ledger」與「Trezor」相關應用,引誘受害者交出「助記詞/復原片語」。

SlowMist 指出,這支「macOS 惡意程式」會嘗試存取並蒐集多類敏感資料,包括 macOS「鑰匙圈」、Safari「Cookies」、Apple 備忘錄、「Telegram 桌面版」資料,以及超過 12 種以上與「加密貨幣錢包」相關的資料庫。之後,惡意程式會複製使用者已登入狀態的 Telegram 桌面版「會話資料」,搭配本機錢包資料庫與瀏覽器「錢包延伸套件」資料,一併傳送給攻擊者,以便在遠端環境中重建相同使用狀態。

在目標應用部分,此次惡意程式特別針對多款軟體錢包與全節點客戶端。軟體錢包方面,包含 Exodus、Atomic、Electrum、Wasabi 以及與「門羅幣(XMR)」相關的錢包資料皆在攻擊清單內;硬體錢包生態則鎖定「Ledger Live」與「Trezor Suite」等桌面應用程式。除此之外,「比特幣(BTC) Core」、「萊特幣(LTC) Core」、「達世幣(DASH) Core」、「狗狗幣(DOGE) Core」等全節點客戶端所儲存的本地錢包檔案,也被列為優先竊取目標。

SlowMist 研究團隊表示,這波攻擊並非單一技術,而是由多個步驟串成一條完整「攻擊鏈」。在「Telegram 2 步驟驗證」層面,研究人員實測發現,若攻擊者已在受害者 Mac 上取得有效的桌面版「登入會話」,便能將該會話資料還原到另一台 Mac 裝置,在過程中無需重新輸入電話號碼、簡訊/應用程式驗證碼,甚至不需要 2 步驟驗證密碼,也能直接登入 Telegram 帳號。「評論」這代表當前 Telegram 的 2 步驟驗證,對於「會話被竊取」這一類場景的防禦能力相對有限,只要桌面端環境遭到沾染,帳號安全就可能被繞過。

安全團隊建議,一旦懷疑裝置遭到感染,應立即在所有裝置上登出現有 Telegram 會話,並在一台「全新或可信任」的設備上重新登入帳號,同時更換 Telegram「2 步驟驗證密碼」與桌面版「應用程式鎖碼」。對於持有「加密貨幣錢包」的使用者,則應在乾淨裝置上建立全新的「助記詞/復原片語」,將資產轉移至新地址,避免舊錢包資料在背景遭到離線破解或暴力嘗試。

此次 macOS 惡意程式案例,動搖了外界對蘋果桌面環境相對安全的既定印象。當「Telegram 會話重用」與「錢包檔案竊取」同時發生,用戶可能在完全沒有異常提示的情況下,失去對「加密貨幣錢包」與通訊帳號的控制權。「評論」在鏈上資產高度集中、跨平台登入習以為常的今天,只要有一個安全環節出現弱點,例如桌面會話長期保持登入、助記詞以明文方式儲存在備忘錄中,攻擊者就有機會藉此一點突破,進一步掌握整體資產。對於重度加密貨幣使用者而言,「桌面會話管理」與「助記詞離線保管」的重要性,正被這起事件再度拉高到新的層級。

<版權所有 ⓒ TokenPost,未經授權禁止轉載與散佈>

最受歡迎

其他相關文章

留言 0

留言小技巧

好文章。 希望有後續報導。 分析得很棒。

0/1000

留言小技巧

好文章。 希望有後續報導。 分析得很棒。
1