Una nuova campagna malware per macOS sta attivamente rubando credenziali per dirottare le sessioni di Telegram e decifrare i portafogli di criptovalute, secondo la società di sicurezza blockchain SlowMist. Il software malevolo – scoperto dal team di intelligence sulle minacce dell'azienda – può anche ingannare gli utenti inducendoli a consegnare le loro frasi di recupero del portafoglio tramite applicazioni false progettate per sembrare legittime.
L'attacco funziona in due modi principali. In primo luogo, cattura le credenziali di accesso a Telegram memorizzate sul Mac infetto, dando agli aggressori il pieno controllo sulla sessione Telegram della vittima. In secondo luogo, esegue una scansione dei portafogli di criptovalute installati e tenta di decifrare le loro chiavi private o frasi seed. Se il portafoglio non è direttamente accessibile, il malware visualizza false richieste di aggiornamento o interfacce di portafoglio fasulle che chiedono all'utente di inserire la propria frase di recupero. Una volta che l'aggressore ottiene quella frase, può prosciugare il portafoglio da qualsiasi dispositivo.
Telegram è ampiamente utilizzato nelle comunità di trading di criptovalute per chat di gruppo, coordinamento di accordi e persino bot di trading automatizzati. Una sessione dirottata consente a un aggressore di impersonare la vittima, leggere messaggi privati e potenzialmente accedere ai codici 2FA inviati tramite Telegram. In combinazione con l'accesso al portafoglio, questo crea un pericoloso strumento unico per il furto.
"Il malware si diffonde attraverso versioni troyano di popolari app per macOS, spesso distribuite tramite link di phishing o siti di download non ufficiali", ha affermato SlowMist nel suo rapporto. L'azienda ha identificato versioni false di Telegram stesso come un vettore comune, così come installatori di portafogli di criptovalute contraffatti.
Storicamente, macOS è stata considerata una piattaforma più sicura per gli utenti di criptovalute rispetto a Windows, ma questa campagna dimostra che tale presupposto non è più affidabile. Il malware prende di mira sia gli hot wallet (portafogli software come MetaMask, Phantom) sia qualsiasi file di chiave privata archiviato localmente. SlowMist ha notato che le tecniche di crittografia utilizzate sono abbastanza sofisticate da eludere gli scanner antivirus di base.
Per i trader e gli investitori che utilizzano macOS, la lezione immediata è verificare la fonte di ogni download, specialmente per Telegram e il software del portafoglio. Conservare le frasi seed offline e utilizzare portafogli hardware per saldi ingenti rimane la difesa più forte. SlowMist raccomanda di abilitare l'autenticazione a due fattori di Telegram con una password robusta e di rivedere regolarmente le sessioni attive.
L'analisi tecnica completa di SlowMist è disponibile sul loro blog. Gli utenti che sospettano un'infezione dovrebbero revocare tutte le sessioni attive di Telegram, trasferire i fondi su un nuovo portafoglio generato su un dispositivo pulito ed eseguire una scansione completa del malware.
Nuovo malware per macOS dirotta Telegram e attacca i wallet crypto
La società di sicurezza SlowMist afferma che una nuova campagna malware per macOS ruba le credenziali di Telegram e tenta di decifrare le chiavi private dei wallet di criptovalute. App false e richieste di aggiornamento ingannano gli utenti inducendoli a fornire le loro frasi di recupero, consentendo agli aggressori di prosciugare i fondi.