作者 | OneKey
MacOS 的木马也能直接窃取私钥了?….已老实。
币圈内常说,苹果电脑一定比 Windows 系统电脑安全,但天下真的没有密不透风的墙。
最近,慢雾科技团队成员 @im23pds 发布了一段视频,引发热议。其内容为一台苹果电脑安装了一个 DMG 格式安装包之后,短短十秒内,黑客的服务器上获取到电脑内的各种账号权限,以及钱包私钥文件——简直就是一锅端。
本文将带你解析攻击如何发生,并给出你一定需要知道的三条重磅建议。
攻击具体是怎么发生的?
(1)跳过了苹果官方的审核
首先,不难猜测,这个攻击的起点就是所有黑客钓鱼都会做的事情:一欺骗用户让其以为是安装的正常软件,而实际上,这是一个木马病毒。Windows 也是一样的。
在大部分情况下,用户安装苹果商店里面的软件,是安全的。因为要上架苹果商店,苹果官方会抽丝拔茧层层审核,系统访问权限被限制得死死的,很难有作恶的可能。
但很多用户会习惯安装苹果商店外的软件,直接无视系统的「非官方商店未知程序」的提示。在这里用户就直接安装这个未知程序。
(2)拿到了苹果电脑的管理员密码
这个管理员密码,就是你的锁屏密码,同时也是拿到你系统权限的密码。应用程序一旦拿到这个密码,就可以进行系统级别的更改(例如修改系统配置、访问特定系统文件夹等)。
要知道,绝大部分普通应用的安装不应需要管理员权限。而这个恶意程序鸡贼地弹出了一个窗口,诱骗用户说「需要你的解锁密码进行安装」。
缺少 MacOS 安全知识的小白就会栽在这里,一但输入,恶意程序就可以为非作歹放飞自我了。
(3)全自动一锅端
接下来就是大家都知道的,在很短的时间内扫描上传用户敏感的文件——浏览器保存的 Cookies、自动填充信息、密码信息、扩展钱包(如小狐狸)本地加密的助记词私钥文件。甚至,还有你 iCloud 上保存的密码。
根据慢雾科技团队 @evilcos 的解释,整个攻击的意图基本就是:
a. 解出扩展钱包本地加密的助记词私钥文件并上传。
密码有的是本地现成的,有的是上传之后黑客再暴力破解,所以有一些人的钱包资产是过了些天才被盗。如果目标钱包资产过小,就潜伏着,哪天养肥了再盗窃;有人说,如果我用了复杂密码来保护小狐狸,这个私钥文件是不是可以不费破解?但如果你的钱包哪天进入了解锁状态,黑客也能设法后台偷走你的私钥。
b. 拿到 Cookies 浏览器保存的账号权限。比如 X、交易平台等,黑客会发送恶意信息或者转走代币;
c. Telegram、Discord 等被黑,黑客会发送恶意信息。
如何防患于未然?三条重磅建议硬控黑客。
(1)使用加密货币的电脑,不要无视风险安装未知应用。
首先,面对任何让你下载安装应用的人,都要无比小心。现在很多伪装成项目方让你下载体验 App、游戏的,基本都是木马诈骗。
其次,如果你的使用习惯很差,喜欢无视风险安装各种第三方软件,也没有能力分辨木马或者使用虚拟沙箱环境,那就别在这个电脑上使用加密货币。实在不行,也要装一个杀毒软件。
而且,第三方软件也可能只是暂时地安全,不代表未来更新下载的 DMG 安装包仍然安全。
最后划重点,永远不要给未知程序提供管理员密码。
(2)用硬件钱包隔离私钥!
分散风险非常重要。你要确保不会被黑客一锅端。
所以,只放少量的资产在小狐狸之类的热钱包,随用随取。热钱包的风险在于,你的私钥从产生、储存加密文件和签名,都是放在这台联网的设备上的。万一被恶意程序攻击并拿到【私钥文件】或者被黑客操控,所有资产都会被一锅端。
所以,建议使用一个甚至多个多签硬件钱包来保存大部分的资产。
目前市面上主流的硬件钱包 OneKey(我们)、Ledger、Trezor 等,要做的就是一件事——让你的私钥从产生、储存到签名,都放在离线且加密的硬件里面,只有在签名的时候,传递必要信息。
让私钥在你的电脑不留下一点痕迹,并隔绝网络,从黑客获取的风险中解放出来,这很重要。
(3)使用网页版交易所,尽量不要保存登录信息
交易所网页的防护比手机 App 上差远了,所以记得用完就退出。
许多人会选择自动保存密码和记住登录信息以图方便。然而,保存登录信息可能导致一旦设备被入侵,攻击者轻而易举就能访问你的交易账户。
现在大部分人都设置了 2FA,但依然有办法绕过。之前就有过 Chrome 恶意插件拿到 Cookies 之后,通过买卖操作恶意对敲把钱通过低买高卖转移给黑客。
最后的最后
最好的防御就是永远保持警惕,预防大于事后补救。
现在钓鱼,已经趋向于产业化和自动化,分工分赃明确。如果资产已经被专业的黑客团队转移并洗钱,很大的概率是拿不回来的!最好不让黑客有任何可趁之机。
阅读原文
下午11:22 · 2024年9月15日
https://x.com/OneKeyCN/status/1835338455129416127