木马如何10秒内盗窃Mac电脑加密钱包

网络安全2天前发布 cryptobaby

14 0 0

本文作者：OneKey 中文@OneKeyCN。发文时间：下午11:22 · 2024年9月15日

MacOS 的木马也能直接窃取私钥了？这时真的吗？

币圈内常说，苹果电脑一定比 Windows 系统电脑安全，但天下真的没有密不透风的墙。

最近，慢雾科技团队成员@im23pds发布了一段视频，引发热议。其内容为一台苹果电脑安装了一个 DMG 格式安装包之后，短短十秒内，黑客的服务器上获取到电脑内的各种账号权限，以及钱包私钥文件——简直就是一锅端。

本文将带你解析攻击如何发生，并给出你一定需要知道的三条重磅建议。👇

🤔🤔攻击具体是怎么发生的？🤔🤔

（1）跳过了苹果官方的审核

首先，不难猜测，这个攻击的起点就是所有黑客钓鱼都会做的事情：一欺骗用户让其以为是安装的正常软件，而实际上，这是一个木马病毒。Windows 也是一样的。

在大部分情况下，用户安装苹果商店里面的软件，是安全的。因为要上架苹果商店，苹果官方会抽丝拔茧层层审核，系统访问权限被限制得死死的，很难有作恶的可能。

但很多用户会习惯安装苹果商店外的软件，直接无视系统的「非官方商店未知程序」的提示。在这里用户就直接安装这个未知程序。

（2）拿到了苹果电脑的管理员密码

这个管理员密码，就是你的锁屏密码，同时也是拿到你系统权限的密码。应用程序一旦拿到这个密码，就可以进行系统级别的更改（例如修改系统配置、访问特定系统文件夹等）。

要知道，绝大部分普通应用的安装不应需要管理员权限。而这个恶意程序鸡贼地弹出了一个窗口，诱骗用户说「需要你的解锁密码进行安装」。

缺少 MacOS 安全知识的小白就会栽在这里，一但输入，恶意程序就可以为非作歹放飞自我了。

（3）全自动一锅端

接下来就是大家都知道的，在很短的时间内扫描上传用户敏感的文件
——浏览器保存的 Cookies、自动填充信息、密码信息、扩展钱包（如小狐狸）本地加密的助记词私钥文件。甚至，还有你 iCloud 上保存的密码。

根据慢雾科技团队@evilcos的解释，整个攻击的意图基本就是：

a. 解出扩展钱包本地加密的助记词私钥文件并上传。

密码有的是本地现成的，有的是上传之后黑客再暴力破解，所以有一些人的钱包资产是过了些天才被盗。如果目标钱包资产过小，就潜伏着，哪天养肥了再盗窃；有人说，如果我用了复杂密码来保护小狐狸，这个私钥文件是不是可以不费破解？但如果你的钱包哪天进入了解锁状态，黑客也能设法后台偷走你的私钥。

b. 拿到 Cookies 浏览器保存的账号权限。比如 X、交易平台等，黑客会发送恶意信息或者转走代币；

c. Telegram、Discord 等被黑，黑客会发送恶意信息。

Cos(余弦)😶‍🌫️@evilcos原文：
这个视频里的亮点在最后，如图信息，木马一旦运行（你看到运行错误是假的...）就自动偷走你各浏览器保存的 Cookies、自动填充信息、密码信息、扩展钱包本地加密的助记词/私钥文件。还有 macOS Keychain 里的信息，这里面就很可能有你的各种密码。再加上一些其他敏感信息。

所谓的自动一锅端...

🛡️🛡️如何防患于未然？三条重磅建议硬控黑客。🛡️🛡️

（1）使用加密货币的电脑，不要无视风险安装未知应用。

首先，面对任何让你下载安装应用的人，都要无比小心。现在很多伪装成项目方让你下载体验 App、游戏的，基本都是木马诈骗。
其次，如果你的使用习惯很差，喜欢无视风险安装各种第三方软件，也没有能力分辨木马或者使用虚拟沙箱环境，那就别在这个电脑上使用加密货币。实在不行，也要装一个杀毒软件。
而且，第三方软件也可能只是暂时地安全，不代表未来更新下载的 DMG 安装包仍然安全。
最后划重点，永远不要给未知程序提供管理员密码🔑。