برمجية خبيثة لنظام macOS تعترض جلسات تطبيق Telegram وتستهدف محافظ العملات الرقمية

BTC%1.68-
LTC%0.15-
DASH%0.17-
DOGE%1.94-

كشفت شركة أمن بلوكتشين SlowMist عن برمجية خبيثة لنظام macOS تقوم بسرقة المعلومات، إذ تختطف جلسات تطبيق Telegram Desktop وتؤدي إلى اختراق محافظ العملات الرقمية. تجمع البرمجية البيانات من سلسلة مفاتيح macOS Keychain وملفات تعريف الارتباط في Safari وNotes في Apple وTelegram Desktop وقواعد البيانات المرتبطة بأكثر من اثنتي عشرة محفظة عملات رقمية، ما يتيح للمهاجمين فك تشفير قواعد بيانات المحافظ المسروقة دون اتصال أو استبدال تطبيقات محفظة الأجهزة الشرعية بنُسخ مزيفة. أعادت SlowMist إنتاج سلسلة الهجوم في بيئة معزولة وخلصت إلى أن التحقق بخطوتين في Telegram لا يمنع الهجوم، لأن البرمجية تعيد استخدام جلسة محلية مُصادق عليها بدلًا من إنشاء تسجيل دخول جديد.

SlowMist تحدد أساليب سرقة بيانات برمجية خبيثة على macOS

بعد جمع كلمات المرور والجلسات المُصادقة، تنسخ البرمجية بيانات جلسة Telegram Desktop المُصادقة للمستخدمين وقواعد بيانات المحافظ وبيانات ملحقات محافظ المتصفح. قالت SlowMist إن بإمكان المهاجمين بعد ذلك محاولة فك تشفير قواعد بيانات المحافظ المسروقة دون اتصال باستخدام كلمات مرور تم جمعها من الجهاز المصاب، أو استبدال تطبيقات Ledger وTrezor الشرعية بنُسخ مزيفة تخدع المستخدمين لإدخال عبارات الاسترداد الخاصة بهم. تجمع البرمجية عدة تقنيات في سلسلة هجوم منسقة، ما يتيح للمهاجمين اتباع طرق مختلفة لاختراق حسابات ومحافظ العملات الرقمية.

البرمجية الخبيثة تستهدف محافظ العملات الرقمية البرمجية ومحافظ الأجهزة

وفقًا لـ SlowMist، تستهدف البرمجية محافظ البرامج بما في ذلك Exodus وAtomic وElectrum وWasabi وMonero، فضلًا عن تطبيقات محافظ الأجهزة مثل Ledger Live وTrezor Suite. كما تبحث عن بيانات المحافظ المخزنة بواسطة عُملاء العقد الكاملة (full-node clients) بما في ذلك Bitcoin Core وLitecoin Core وDash Core وDogecoin Core.

فشل التحقق بخطوتين في Telegram في منع اختطاف الجلسة

لا يمنع التحقق بخطوتين في Telegram الهجوم، لأن البرمجية تعيد استخدام جلسة محلية مُصادق عليها بدلًا من إنشاء تسجيل دخول جديد، بحسب SlowMist. وفي الاختبارات، أعاد الباحثون استعادة بيانات جلسة Telegram Desktop المسروقة على جهاز Mac آخر دون إدخال رقم هاتف أو رمز تحقق أو كلمة مرور التحقق بخطوتين.

توصي SlowMist بإجراءات أمنية فورية للأجهزة المخترَقة

حثت SlowMist المستخدمين الذين يشكون في اختراق أجهزتهم على إنهاء جلسات Telegram الحالية فورًا، وإنشاء تسجيل دخول جديد موثوق، وتغيير كل من كلمة مرور التحقق بخطوتين في Telegram ورمز المرور الخاص بـ Telegram Desktop. وأوصت الشركة كذلك بتوليد عبارة استرداد جديدة على جهاز نظيف، ونقل جميع الأصول إلى عناوين جديدة.

الأسئلة الشائعة

ما أنواع البيانات التي تسرقها برمجية macOS الخبيثة وفقًا لـ SlowMist؟

تجمع البرمجية بيانات من سلسلة مفاتيح macOS Keychain وملفات تعريف الارتباط في Safari وApple Notes وTelegram Desktop وقواعد البيانات المرتبطة بأكثر من اثنتي عشرة محفظة عملات رقمية، بما في ذلك بيانات جلسة Telegram Desktop المُصادقة وقواعد بيانات المحافظ وبيانات ملحقات محافظ المتصفح.

لماذا لا يمنع التحقق بخطوتين في Telegram هذا الهجوم البرمجي الخبيث؟

لا يمنع التحقق بخطوتين في Telegram الهجوم لأن البرمجية تعيد استخدام جلسة محلية مُصادق عليها بدلًا من إنشاء تسجيل دخول جديد. أجرى باحثو SlowMist استعادة بيانات جلسة Telegram Desktop المسروقة على جهاز Mac آخر دون إدخال رقم هاتف أو رمز تحقق أو كلمة مرور التحقق بخطوتين.

ما إجراءات الأمان التي توصي بها SlowMist للمستخدمين الذين يشتبهون في اختراق أجهزتهم؟

حثت SlowMist على إنهاء جلسات Telegram الحالية فورًا، وإنشاء تسجيل دخول جديد موثوق، وتغيير كل من كلمة مرور التحقق بخطوتين في Telegram ورمز المرور الخاص بـ Telegram Desktop، وتوليد عبارة استرداد جديدة على جهاز نظيف، ونقل جميع الأصول إلى عناوين جديدة.

إخلاء المسؤولية: قد تكون المعلومات الواردة في هذه الصفحة مستمدة من مصادر خارجية وهي للمرجعية فقط. لا تمثل هذه المعلومات آراء أو وجهات نظر Gate ولا تشكل أي نصيحة مالية أو استثمارية أو قانونية. ينطوي تداول الأصول الافتراضية على مخاطر عالية. يرجى عدم الاعتماد حصرياً على المعلومات الواردة في هذه الصفحة عند اتخاذ القرارات. لمزيد من التفاصيل، يرجى الرجوع على إخلاء المسؤولية.
تعليق
0/400
لا توجد تعليقات