Een nieuwe macOS-malwarecampagne steelt actief inloggegevens om Telegram-sessies te kapen en cryptovaluta-wallets te ontcijferen, aldus blockchain-beveiligingsbedrijf SlowMist. De kwaadaardige software – ontdekt door het dreiging inlichtingen-team van het bedrijf – kan gebruikers ook verleiden om hun herstelzinnen voor wallets af te staan via valse applicaties die er legitiem uitzien.
De aanval werkt op twee manieren. Ten eerste onderschept de malware Telegram-inloggegevens die op de geïnfecteerde Mac zijn opgeslagen, waardoor aanvallers volledige controle krijgen over de Telegram-sessie van een slachtoffer. Ten tweede scant het naar geïnstalleerde cryptovaluta-wallets en probeert het hun private keys of seed zinnen te ontcijferen. Als de wallet niet direct toegankelijk is, toont de malware valse updateverzoeken of nagemaakte wallet-interfaces die de gebruiker vragen om de herstelzin in te voeren. Zodra de aanvaller die zin heeft, kan hij de wallet vanaf elk apparaat leegroven.
Telegram wordt veel gebruikt in crypto-handelsgemeenschappen voor groepschats, het coördineren van deals en zelfs voor geautomatiseerde handelsbots. Een gekaapte sessie stelt een aanvaller in staat zich voor te doen als het slachtoffer, privéberichten te lezen en mogelijk toegang te krijgen tot 2FA-codes die via Telegram worden verzonden. In combinatie met toegang tot de wallet creëert dit een gevaarlijke totaaloplossing voor diefstal.
"De malware verspreidt zich via getrojaniseerde versies van populaire macOS-apps, vaak gedistribueerd via phishinglinks of onofficiële downloadsites," aldus SlowMist in zijn rapport. Het bedrijf identificeerde valse versies van Telegram zelf als een veelvoorkomende vector, evenals nagemaakte crypto-wallet-installatieprogramma's.
MacOS werd historisch gezien als een veiliger platform voor cryptogebruikers beschouwd in vergelijking met Windows, maar deze campagne toont aan dat die aanname niet langer betrouwbaar is. De malware richt zich zowel op hot wallets (software-wallets zoals MetaMask, Phantom) als op lokaal opgeslagen private key-bestanden. SlowMist merkte op dat de gebruikte versleutelingstechnieken geavanceerd genoeg zijn om standaard antivirusscanners te omzeilen.
Voor handelaren en investeerders die macOS gebruiken, is de directe les om de bron van elke download te verifiëren – vooral voor Telegram en wallet-software. Het offline bewaren van seed zinnen en het gebruik van hardware-wallets voor grote bedragen blijft de sterkste verdediging. SlowMist raadt aan om de tweefactorauthenticatie van Telegram in te schakelen met een sterk wachtwoord en actieve sessies regelmatig te controleren.
De volledige technische analyse van SlowMist is beschikbaar op hun blog. Gebruikers die een infectie vermoeden, moeten alle actieve Telegram-sessies intrekken, tegoeden overboeken naar een nieuwe wallet die op een schoon apparaat is aangemaakt, en een volledige malwarescan uitvoeren.
Nieuwe macOS-malware kaapt Telegram en richt zich op crypto-wallets
Volgens beveiligingsbedrijf SlowMist steelt een nieuwe macOS-malwarecampagne Telegram-inloggegevens en probeert het private keys van crypto-wallets te ontcijferen. Valse apps en updateverzoeken verleiden gebruikers om hun herstelzinnen af te staan, waardoor aanvallers wallets kunnen leegroven.