Retour aux Actualités

Un nouveau malware macOS pirate Telegram et cible les wallets crypto

La société de sécurité SlowMist révèle qu’une nouvelle campagne malveillante sur macOS dérobe les identifiants Telegram et tente de déchiffrer les clés privées de wallets crypto, tandis que de fausses applications et invites de mise à jour poussent les utilisateurs à livrer leurs phrases de récupération. Une session Telegram compromise peut exposer les messages privés et les codes de vérification en deux étapes, alors qu’une phrase de récupération volée permet aux attaquants de vider le wallet crypto depuis n’importe quel appareil.
Une nouvelle campagne malveillante ciblant macOS dérobe activement des identifiants pour pirater des sessions Telegram et déchiffrer des wallets de cryptomonnaies, selon la société de sécurité blockchain SlowMist. Le logiciel malveillant – découvert par l’équipe de renseignement sur les menaces de l’entreprise – peut également tromper les utilisateurs pour qu’ils communiquent leurs phrases de récupération via de fausses applications conçues pour paraître légitimes.

L’attaque fonctionne de deux manières principales. Premièrement, elle capture les identifiants Telegram stockés sur le Mac infecté, donnant aux attaquants le contrôle total de la session Telegram de la victime. Deuxièmement, elle recherche les wallets de cryptomonnaies installés et tente de déchiffrer leurs clés privées ou leurs phrases de récupération. Si le wallet n’est pas directement accessible, le malware affiche de fausses invites de mise à jour ou de fausses interfaces de wallet demandant à l’utilisateur de saisir sa phrase de récupération. Une fois cette phrase en possession de l’attaquant, celui-ci peut vider le wallet depuis n’importe quel appareil.

Telegram est largement utilisé dans les communautés de trading crypto pour les discussions de groupe, la coordination de transactions et même les robots de trading automatisés. Une session compromise permet à un attaquant d’usurper l’identité de la victime, de lire les messages privés et potentiellement d’accéder aux codes 2FA envoyés via Telegram. Combiné à l’accès au wallet, cela crée un guichet unique dangereux pour le vol.

« Le malware se propage via des versions trojanisées d’applications macOS populaires, souvent distribuées par des liens de phishing ou des sites de téléchargement non officiels », a déclaré SlowMist dans son rapport. L’entreprise a identifié de fausses versions de Telegram lui-même comme un vecteur courant, ainsi que de faux installateurs de wallets crypto.

macOS a historiquement été considéré comme une plateforme plus sûre pour les utilisateurs crypto par rapport à Windows, mais cette campagne montre que cette hypothèse n’est plus fiable. Le malware cible à la fois les hot wallets (portefeuilles logiciels comme MetaMask, Phantom) et tout fichier de clé privée stocké localement. SlowMist a noté que les techniques de cryptage utilisées sont suffisamment sophistiquées pour contourner les antivirus de base.

Pour les traders et investisseurs utilisant macOS, la leçon immédiate est de vérifier la source de chaque téléchargement – en particulier pour Telegram et les logiciels de wallet. Stocker les phrases de récupération hors ligne et utiliser des hardware wallets pour les soldes importants reste la meilleure défense. SlowMist recommande d’activer l’authentification à deux facteurs de Telegram avec un mot de passe fort et de consulter régulièrement les sessions actives.

L’analyse technique complète de SlowMist est disponible sur leur blog. Les utilisateurs qui soupçonnent une infection doivent révoquer toutes les sessions Telegram actives, transférer les fonds vers un nouveau wallet généré sur un appareil propre et exécuter une analyse complète contre les malwares.

Actualités liées