著者 | ワンキー
 
MacOS のトロイの木馬は秘密キーを直接盗むことができますか? ……正直に言いました。
 
Apple コンピュータは Windows コンピュータより安全であるに違いないと為替業界ではよく言われますが、実際には世界に気密な壁はありません。
 
最近、SlowMist Technology チームのメンバーである @im23pds が、白熱した議論を引き起こすビデオを公開しました。その内容は、Apple コンピュータが DMG 形式のインストール パッケージをインストールした後、わずか 10 秒以内にハッカーのサーバーがコンピュータ上のさまざまなアカウント権限とウォレットの秘密鍵ファイルを一度に取得したというものです。
 
この記事では、攻撃がどのように発生するかを説明し、知っておくべき 3 つの重要なアドバイスを提供します。
 
攻撃は正確にどのように発生したのでしょうか?
 
(1) Appleの公式レビューをスキップする
 
まず第一に、この攻撃の出発点は、すべてのフィッシング ハッカーが行うことであると推測するのは難しくありません。つまり、ユーザーを騙して、インストールされている通常のソフトウェアであると思わせますが、実際にはトロイの木馬ウイルスです。 Windows についても同様です。
 
ほとんどの場合、ユーザーは Apple Store からソフトウェアをインストールするのが安全です。 Apple Storeに出品するため、Apple関係者によるあらゆる審査が行われ、システムへのアクセス権も厳しく制限されており、悪事を働きにくくなっています。
 
ただし、多くのユーザーは Apple Store の外部からソフトウェアをインストールすることに慣れており、システムの「不明なストア、不明なプログラム」プロンプトを直接無視しています。ここで、ユーザーはこの不明なプログラムを直接インストールします。
 
(2) Appleコンピュータの管理者パスワードを取得する
 
この管理者パスワードはロック画面のパスワードであり、システムにアクセスするためのパスワードでもあります。アプリケーションがこのパスワードを取得すると、システム レベルの変更 (システム構成の変更、特定のシステム フォルダーへのアクセスなど) を行うことができます。
 
ほとんどの一般的なアプリケーションのインストールには管理者権限は必要ないことに注意してください。そして、この悪意のあるプログラムは愚かな方法でウィンドウをポップアップ表示し、ユーザーをだまして「インストールするにはロック解除パスワードが必要です」と言わせます。
 
MacOS のセキュリティ知識が不足している初心者は、一度侵入すると、やりたい放題の行為をしてしまう可能性があります。
 
(3)全自動ワンポット盛り付け
 
次のステップは誰もが知っているもので、非常に短期間でユーザー機密ファイルをスキャンしてアップロードします - ブラウザーによって保存された Cookie、自動入力情報、パスワード情報、拡張ウォレット (Little Fox など) のローカルで暗号化されたニーモニック秘密キー) 書類。 iCloud にもパスワードが保存されています。
 
SlowMist Technology Team @evilcos の説明によると、攻撃全体の意図は基本的に次のとおりです。
 
a. 拡張ウォレットのローカルで暗号化されたニーモニック秘密キー ファイルのロックを解除し、アップロードします。
一部のパスワードはローカルで入手できますが、一部のパスワードはアップロードされてハッカーによってハッキングされるため、しばらくしてからウォレット資産が盗まれる人もいます。ターゲットとなるウォレットの資産が小さすぎると、盗む前に潜んで肥大化してしまうでしょう。子キツネを守るために複雑なパスワードを使用すれば、この秘密キー ファイルは何の努力もせずに解読できるのではないかと言う人もいます。しかし、ある日ウォレットがロック解除状態になった場合、ハッカーがバックグラウンドで秘密キーを盗もうとする可能性もあります。
 
b. Cookie ブラウザーによって保存されたアカウント権限を取得します。たとえば、X や取引プラットフォームなどでは、ハッカーが悪意のある情報を送信したり、トークンを転送したりします。
 
c. Telegram、Discord などがハッキングされ、ハッカーが悪意のあるメッセージを送信します。
 
問題の芽を摘むにはどうすればよいでしょうか?ハッカーを厳しくコントロールするための 3 つの重要な提案。

(1) 暗号化されたコンピュータを使用する場合は、危険を顧みず、未知のアプリケーションをインストールしないでください。
 
まず、アプリのダウンロードとインストールを要求する人には細心の注意を払ってください。最近、プロジェクト パーティーを装ってアプリやゲームをダウンロードして体験させる多くの人々は、基本的にはトロイの木馬詐欺です。
次に、リスクを無視してさまざまなサードパーティ ソフトウェアをインストールするなど、使用習慣が悪く、トロイの木馬を識別したり、仮想サンドボックス環境を使用したりできない場合は、このコンピュータで暗号化を使用しないでください。それでもうまくいかない場合は、ウイルス対策ソフトウェアもインストールする必要があります。
さらに、サードパーティ ソフトウェアは一時的に安全であるだけである可能性があり、将来の更新によってダウンロードされる DMG インストール パッケージが引き続き安全であることを意味するものではありません。
最後に重要なことですが、不明なプログラムに管理者パスワードを決して提供しないでください。
 
(2)ハードウェアウォレットを使って秘密鍵を隔離しましょう!
 
リスクを分散することは非常に重要です。ハッキングされないようにしたいと考えています。
 
したがって、Xiaofoxなどのホットウォレットに少額の資産を入れるだけで、好きなだけ引き出すことができます。ホット ウォレットのリスクは、暗号化されたファイルと署名の生成から保存まで、秘密キーがこの接続されたデバイス上に置かれることです。悪意のあるプログラムの攻撃を受けて「秘密鍵ファイル」を入手したり、ハッカーに制御されたりすると、すべての資産が盗まれます。
 
したがって、ほとんどの資産を保存するには、1 つ以上のマルチシグネチャ ハードウェア ウォレットを使用することをお勧めします。
 
現在市場に出ている主流のハードウェアウォレット、OneKey (米国)、Ledger、Trezor などはすべて、秘密鍵を生成から保存、署名までオフラインで暗号化されたハードウェアに置き、署名するときに、必要な情報。
 
秘密キーの痕跡をコンピューターに残さず、インターネットから隔離してハッカーに入手されるリスクを避けることが重要です。
 
(3) Web版取引所を利用する場合はログイン情報を保存しないようにしましょう
 
取引所の Web ページの保護はモバイル アプリよりもはるかに悪いため、使い終わったら忘れずに終了してください。
 
多くの人は、便宜上、パスワードを自動的に保存し、ログイン情報を記憶することを選択します。ただし、ログイン情報を保存すると、デバイスが侵害された場合に攻撃者が取引アカウントにアクセスしやすくなる可能性があります。
 
最近ではほとんどの人が 2FA を設定していますが、それに先んじて実行する方法はまだあります。過去には、Chrome の悪意のあるプラグインが Cookie を取得し、悪意のある取引操作を使用して安く買って高く売ることでハッカーに送金するケースがありました。
 
最後 最後
 
最善の防御策は、常に警戒を怠らないことです。
 
現在、漁業は工業化・自動化される傾向にあり、分業と戦利品が明確になっています。プロのハッカーチームによって資産が転送され洗浄された場合、回収できない可能性が高くなります。ハッカーに利用される機会を与えないことが最善です。