SlowMistは、Telegramセッションを乗っ取り、認証情報を収集し、暗号資産ウォレットのデータを盗み出したうえで、正規のLedgerおよびTrezorアプリケーションをフィッシング機能付きのWebラッパーにすり替えるmacOS向け情報窃取マルウェアを発見しました。
SlowMistの監視プラットフォーム「MistEye」によって検出されたこのマルウェアは、単一の標的を狙うというより、幅広いデータ窃取を目的として設計されているとみられます。
このマルウェアは、「GAPI_Update」という要求を装った偽のmacOS管理者パスワード入力画面を表示します。
続いて、入力されたパスワードをdsclユーティリティで検証し、攻撃者側が本物のローカルログインパスワードなのか、それとも無関係な入力なのかを判別できるようにします。
さらに、login.keychain-dbやApple Notesのデータベースも窃取します。被害者がパスワードやリカバリーフレーズ、Telegramのパスコード、リカバリーコードをローカルに保存していた場合、これらが流出する恐れがあります。
このスティーラーは特に、~/Library/Application Support/Telegram Desktop/以下にあるTelegram Desktopのtdataディレクトリを標的とします。
key_datas、セッションファイル、マップデータなど、ローカルの暗号鍵、セッション状態、データマッピングに関連するファイルをコピーします。
SlowMistは、macOS 12.712.712.7とTelegram Desktop 4.164.164.16を実行する隔離されたテスト環境で、窃取されたファイルの復元を行いました。
Telegramクライアントを起動すると、被害者のアカウントは即座に復元されました。電話番号、SMSコード、Telegramの2段階認証パスワードを求められることなく、チャット履歴が同期されたのです。
この発見は、マルウェアがTelegramのパスワードを解読したり2要素認証を突破したりしていることを意味するものではありません。そうではなく、すでに認証済みのローカルセッションを再利用しているのです。
被害者のMac上ではすでに認証が完了しているため、セッションを復元するだけで、Telegramが本来求めるはずの認証情報入力フローを回避できてしまいます。
SlowMistはまた、窃取したデータが、既存のツール群と有効な認証キーを使うことで、プログラム制御可能なTelegram APIセッションに変換できる可能性があることも突き止めました。
これにより、メッセージやチャット履歴への自動アクセス、さらにはメッセージの送信までもが可能になるおそれがあります。同時に、接続が短時間かつ断続的であるため、検知が難しくなる可能性もあるとmediumは指摘しています。
macOS向けの純正Telegramクライアントも、テスト中にローカルセッションの復元による影響を受けやすいことが判明しました。サーバー側の挙動によってリアルタイムのメッセージングが制限されている場合でも、複製されたクライアント内ではキャッシュされた過去のチャットが閲覧可能な状態で残ることがあります。
注記: 意図しない名前解決やハイパーリンク化を防ぐため、IPアドレスおよびドメインは意図的に無効化表記(例: [.])としています。再度有効な形式に戻す作業は、MISP、VirusTotal、あるいは自組織のSIEMなど、管理された脅威インテリジェンスプラットフォーム内でのみ行ってください。
より強力な予防的防御で、重大インシデントと金銭的損失を未然に防ぎましょう。15,000のSOCから得られるライブ脅威フィードを統合する
翻訳元: https://cyberpress.org/infostealer-hijacks-telegram-wallets/