Zurück zu Nachrichten

Neue macOS-Malware kapert Telegram und zielt auf Krypto-Wallets

Die Sicherheitsfirma SlowMist berichtet, dass eine neue macOS-Malware-Kampagne Telegram-Anmeldedaten stiehlt und versucht, private Schlüssel von Krypto-Wallets zu entschlüsseln. Gefälschte Apps und Update-Aufforderungen verleiten Benutzer dazu, ihre Wiederherstellungsphrasen preiszugeben, was Angreifern ermöglicht, die Gelder abzuziehen.
Eine neue Malware-Kampagne für macOS stiehlt aktiv Anmeldeinformationen, um Telegram-Sitzungen zu kapern und Kryptowährungs-Wallets zu entschlüsseln, so die Blockchain-Sicherheitsfirma SlowMist. Die bösartige Software – entdeckt vom Threat-Intelligence-Team der Firma – kann Benutzer auch dazu verleiten, ihre Wallet-Wiederherstellungsphrasen über gefälschte Anwendungen preiszugeben, die legitim aussehen sollen.

Der Angriff funktioniert auf zwei Hauptwegen. Erstens erfasst er die auf dem infizierten Mac gespeicherten Telegram-Anmeldedaten und gibt den Angreifern die volle Kontrolle über die Telegram-Sitzung des Opfers. Zweitens sucht er nach installierten Kryptowährungs-Wallets und versucht, deren private Schlüssel oder Seed-Phrasen zu entschlüsseln. Wenn die Wallet nicht direkt zugänglich ist, zeigt die Malware gefälschte Update-Aufforderungen oder betrügerische Wallet-Oberflächen an, die den Benutzer auffordern, seine Wiederherstellungsphrase einzugeben. Sobald der Angreifer diese Phrase hat, kann er die Wallet von jedem Gerät aus leeren.

Telegram wird in Krypto-Handelsgemeinschaften häufig für Gruppenchats, die Koordination von Geschäften und sogar für automatisierte Handelsbots verwendet. Eine gekaperte Sitzung ermöglicht es einem Angreifer, sich als das Opfer auszugeben, private Nachrichten zu lesen und potenziell auf 2FA-Codes zuzugreifen, die über Telegram gesendet werden. In Kombination mit dem Wallet-Zugriff entsteht so ein gefährliches Komplettpaket für Diebstahl.

„Die Malware verbreitet sich über trojanisierte Versionen beliebter macOS-Apps, die oft über Phishing-Links oder inoffizielle Download-Seiten verteilt werden“, so SlowMist in seinem Bericht. Die Firma identifizierte gefälschte Versionen von Telegram selbst als einen häufigen Vektor sowie gefälschte Krypto-Wallet-Installationsprogramme.

MacOS galt historisch als eine sicherere Plattform für Krypto-Benutzer im Vergleich zu Windows, aber diese Kampagne zeigt, dass diese Annahme nicht mehr zuverlässig ist. Die Malware zielt sowohl auf Hot Wallets (Software-Wallets wie MetaMask, Phantom) als auch auf lokal gespeicherte private Schlüsseldateien ab. SlowMist merkte an, dass die verwendeten Verschlüsselungstechniken ausgeklügelt genug sind, um grundlegende Antiviren-Scanner zu umgehen.

Für Händler und Investoren, die macOS verwenden, lautet die unmittelbare Lehre, die Quelle jedes Downloads zu überprüfen – insbesondere bei Telegram und Wallet-Software. Die Offline-Speicherung von Seed-Phrasen und die Verwendung von Hardware-Wallets für große Guthaben bleibt die stärkste Verteidigung. SlowMist empfiehlt, die Zwei-Faktor-Authentifizierung von Telegram mit einem starken Passwort zu aktivieren und aktive Sitzungen regelmäßig zu überprüfen.

Die vollständige technische Analyse von SlowMist ist auf ihrem Blog verfügbar. Benutzer, die eine Infektion vermuten, sollten alle aktiven Telegram-Sitzungen widerrufen, Gelder auf eine neue Wallet übertragen, die auf einem sauberen Gerät erstellt wurde, und einen vollständigen Malware-Scan durchführen.

Verwandte Nachrichten