暗号資産セキュリティ企業のSlowMistは、macOSの情報窃取型マルウェアを発見した。このマルウェアはTelegram Desktopのセッションを乗っ取り、暗号資産ウォレットを侵害する。マルウェアはmacOSのキーチェーン、SafariのCookie、Apple Notes、Telegram Desktop、ならびに13種類以上の暗号資産ウォレットに関連するデータベースから情報を収集し、攻撃者は盗み取ったウォレットのデータベースをオフラインで復号したり、正規のハードウェアウォレットアプリを偽のバージョンに置き換えたりできる。SlowMistは隔離環境で攻撃チェーンを再現し、Telegramの2段階認証では攻撃を防げないことを確認した。これは、マルウェアが新しいログインを作成するのではなく、認証済みのローカルセッションを流用するためである。
パスワードと認証済みセッションを収集した後、マルウェアはユーザーの認証済みTelegram Desktopセッションデータ、ウォレットデータベース、ブラウザウォレット拡張データをコピーする。SlowMistによると、攻撃者は次に、感染した端末から収集したパスワードを使って盗み取ったウォレットデータベースをオフラインで復号しようとすることや、正規のLedgerおよびTrezorアプリを偽のバージョンに置き換えて、ユーザーにリカバリーフレーズを入力させることが可能だという。マルウェアは、複数の手法を組み合わせた攻撃チェーンとして成立しており、攻撃者は暗号資産口座やウォレットを侵害するための異なる手段を追求できる。
SlowMistによれば、このマルウェアはExodus、Atomic、Electrum、Wasabi、Moneroといったソフトウェアウォレットに加え、Ledger LiveやTrezor Suiteのようなハードウェアウォレットアプリも標的にする。さらに、Bitcoin Core、Litecoin Core、Dash Core、Dogecoin Coreなどのフルノードクライアントに保存されているウォレットデータも検索する。
SlowMistによると、Telegramの2段階認証は、新しいログインを作成する代わりに、マルウェアが認証済みのローカルセッションを流用するため、攻撃を防げない。テストでは、研究者らが、電話番号、認証コード、または2段階認証パスワードを入力せずに、盗み取ったTelegram Desktopセッションデータを別のMacに復元した。
SlowMistは、端末が侵害された疑いがあるユーザーに対し、直ちに既存のTelegramセッションを終了し、新たに信頼できるログインを確立した上で、Telegramの2段階認証パスワードとTelegram Desktopのパスコードの両方を変更するよう促した。同社はまた、クリーンな端末で新しいリカバリーフレーズを生成し、すべての資産を新しいアドレスへ移すことも推奨している。
SlowMistによると、macOSマルウェアはどのようなデータを盗みますか?
このマルウェアはmacOSのキーチェーン、SafariのCookie、Apple Notes、Telegram Desktop、ならびに13種類以上の暗号資産ウォレットに関連するデータベースから情報を収集します。これには、認証済みのTelegram Desktopセッションデータ、ウォレットデータベース、ブラウザウォレット拡張データが含まれます。
なぜTelegramの2段階認証では、このマルウェア攻撃を防げないのですか?
Telegramの2段階認証では、新しいログインを作成する代わりに、マルウェアが認証済みのローカルセッションを流用するため、攻撃を防げません。SlowMistの研究者らは、電話番号、認証コード、または2段階認証パスワードを入力せずに、盗み取ったTelegram Desktopセッションデータを別のMacに復元しました。
端末侵害を疑うユーザーに、SlowMistはどのようなセキュリティ対策を推奨していますか?
SlowMistは、ユーザーに対し直ちに既存のTelegramセッションを終了し、新たに信頼できるログインを確立した上で、Telegramの2段階認証パスワードとTelegram Desktopのパスコードの両方を変更し、クリーンな端末で新しいリカバリーフレーズを生成し、すべての資産を新しいアドレスへ移すよう求めています。
関連ニュース