Volver a Noticias

Nuevo malware para macOS secuestra Telegram y ataca criptocarteras

La firma de seguridad SlowMist informa que una nueva campaña de malware para macOS roba credenciales de Telegram e intenta descifrar claves privadas de criptocarteras. Las aplicaciones falsas y las falsas solicitudes de actualización engañan a los usuarios para que revelen sus frases de recuperación, lo que permite a los atacantes vaciar los fondos.
Una nueva campaña de malware para macOS está robando activamente credenciales para secuestrar sesiones de Telegram y descifrar carteras de criptomonedas, según la firma de seguridad blockchain SlowMist. El software malicioso –descubierto por el equipo de inteligencia de amenazas de la firma– también puede engañar a los usuarios para que entreguen sus frases de recuperación de cartera a través de aplicaciones falsas diseñadas para parecer legítimas.

El ataque funciona de dos maneras principales. Primero, captura las credenciales de inicio de sesión de Telegram almacenadas en el Mac infectado, otorgando a los atacantes control total sobre la sesión de Telegram de la víctima. Segundo, busca carteras de criptomonedas instaladas e intenta descifrar sus claves privadas o frases semilla. Si la cartera no es directamente accesible, el malware muestra falsas solicitudes de actualización o interfaces de cartera fraudulentas que piden al usuario que ingrese su frase de recuperación. Una vez que el atacante tiene esa frase, puede vaciar la cartera desde cualquier dispositivo.

Telegram es ampliamente utilizado en las comunidades de trading de criptomonedas para chats grupales, coordinación de operaciones e incluso bots de trading automatizados. Una sesión secuestrada permite a un atacante hacerse pasar por la víctima, leer mensajes privados y potencialmente acceder a códigos 2FA enviados a través de Telegram. Combinado con el acceso a la cartera, esto crea una peligrosa herramienta todo en uno para el robo.

"El malware se propaga a través de versiones troyanizadas de aplicaciones populares de macOS, a menudo distribuidas mediante enlaces de phishing o sitios de descarga no oficiales", dijo SlowMist en su informe. La firma identificó versiones falsas del propio Telegram como un vector común, así como instaladores de criptocarteras falsificados.

Históricamente, macOS se ha considerado una plataforma más segura para los usuarios de criptomonedas en comparación con Windows, pero esta campaña demuestra que esa suposición ya no es fiable. El malware se dirige tanto a carteras calientes (carteras de software como MetaMask, Phantom) como a cualquier archivo de clave privada almacenado localmente. SlowMist indica que las técnicas de cifrado utilizadas son lo suficientemente sofisticadas como para eludir los escáneres antivirus básicos.

Para los traders e inversores que utilizan macOS, la conclusión inmediata es verificar la fuente de cada descarga, especialmente para Telegram y el software de cartera. Almacenar las frases semilla sin conexión y usar carteras de hardware para grandes saldos sigue siendo la defensa más sólida. SlowMist recomienda habilitar la autenticación de dos factores de Telegram con una contraseña segura y revisar las sesiones activas regularmente.

El análisis técnico completo de SlowMist está disponible en su blog. Los usuarios que sospechen una infección deben revocar todas las sesiones activas de Telegram, transferir fondos a una nueva cartera generada en un dispositivo limpio y ejecutar un análisis completo de malware.

Noticias relacionadas