Nowa kampania złośliwego oprogramowania na macOS aktywnie kradnie dane uwierzytelniające w celu przejmowania sesji Telegramu i odszyfrowywania portfeli kryptowalutowych – ostrzega firma zajmująca się bezpieczeństwem blockchain SlowMist. Złośliwe oprogramowanie – odkryte przez zespół wywiadu zagrożeń firmy – potrafi również nakłonić użytkowników do podania fraz odzyskiwania portfela za pomocą fałszywych aplikacji, które wyglądają na legalne.
Atak działa na dwa główne sposoby. Po pierwsze, przechwytuje dane logowania do Telegramu przechowywane na zainfekowanym Macu, dając atakującym pełną kontrolę nad sesją Telegramu ofiary. Po drugie, skanuje w poszukiwaniu zainstalowanych portfeli kryptowalutowych i próbuje odszyfrować ich klucze prywatne lub frazy seed. Jeśli portfel nie jest bezpośrednio dostępny, malware wyświetla fałszywe monity o aktualizację lub podrobione interfejsy portfela, które proszą użytkownika o wprowadzenie frazy odzyskiwania. Gdy atakujący zdobędzie tę frazę, może opróżnić portfel z dowolnego urządzenia.
Telegram jest szeroko wykorzystywany w społecznościach handlu kryptowalutami do czatów grupowych, koordynacji transakcji, a nawet do automatycznych botów handlowych. Przejęta sesja umożliwia atakującemu podszywanie się pod ofiarę, odczytywanie prywatnych wiadomości i potencjalne uzyskiwanie kodów 2FA wysyłanych przez Telegram. W połączeniu z dostępem do portfela tworzy to niebezpieczne, kompleksowe narzędzie do kradzieży.
„Złośliwe oprogramowanie rozprzestrzenia się przez trojanizowane wersje popularnych aplikacji na macOS, często dystrybuowane za pośrednictwem linków phishingowych lub nieoficjalnych stron pobierania” – poinformował SlowMist w swoim raporcie. Firma wskazała fałszywe wersje samego Telegramu jako powszechny wektor ataku, a także podrobione instalatory portfeli kryptowalutowych.
macOS był historycznie uważany za bezpieczniejszą platformę dla użytkowników kryptowalut w porównaniu z Windowsem, ale ta kampania pokazuje, że to założenie nie jest już wiarygodne. Malware atakuje zarówno gorące portfele (programowe portfele, takie jak MetaMask, Phantom), jak i wszystkie lokalnie przechowywane pliki z kluczami prywatnymi. SlowMist zauważył, że zastosowane techniki szyfrowania są wystarczająco zaawansowane, aby ominąć podstawowe skanery antywirusowe.
Dla traderów i inwestorów korzystających z macOS bezpośrednim wnioskiem jest weryfikacja źródła każdego pobrania – zwłaszcza oprogramowania Telegrama i portfeli. Przechowywanie fraz seed offline i korzystanie ze sprzętowych portfeli dla dużych sald pozostaje najsilniejszą obroną. SlowMist zaleca włączenie uwierzytelniania dwuskładnikowego w Telegramie z silnym hasłem i regularne sprawdzanie aktywnych sesji.
Pełna analiza techniczna od SlowMist jest dostępna na ich blogu. Użytkownicy, którzy podejrzewają infekcję, powinni unieważnić wszystkie aktywne sesje Telegramu, przenieść środki do nowego portfela wygenerowanego na czystym urządzeniu i przeprowadzić pełne skanowanie antywirusowe.
Nowy malware macOS przejmuje Telegram i atakuje portfele krypto
Firma ochroniarska SlowMist informuje, że nowa kampania złośliwego oprogramowania na macOS kradnie dane logowania do Telegramu i próbuje odszyfrować klucze prywatne portfeli kryptowalutowych, a fałszywe aplikacje i fałszywe monity o aktualizację nakłaniają użytkowników do ujawnienia fraz odzyskiwania. Przejęta sesja Telegramu może ujawnić prywatne wiadomości i kody weryfikacji dwuskładnikowej, a skradziona fraza odzyskiwania pozwala atakującym opróżnić portfel kryptowalutowy z dowolnego urządzenia.