Uma nova campanha de malware para macOS está roubando ativamente credenciais para sequestrar sessões do Telegram e decifrar carteiras de criptomoedas, de acordo com a empresa de segurança blockchain SlowMist. O software malicioso – descoberto pela equipe de inteligência de ameaças da empresa – também pode enganar os usuários para que entreguem suas frases de recuperação de carteira por meio de aplicativos falsos projetados para parecerem legítimos.
O ataque funciona de duas maneiras principais. Primeiro, ele captura as credenciais de login do Telegram armazenadas no Mac infectado, dando aos invasores controle total sobre a sessão do Telegram da vítima. Segundo, ele verifica as carteiras de criptomoedas instaladas e tenta decifrar suas chaves privadas ou frases-semente. Se a carteira não estiver diretamente acessível, o malware exibe falsos avisos de atualização ou interfaces de carteira fraudulentas que pedem ao usuário para inserir sua frase de recuperação. Assim que o invasor obtém essa frase, ele pode esvaziar a carteira de qualquer dispositivo.
O Telegram é amplamente utilizado em comunidades de negociação de criptomoedas para chats em grupo, coordenação de negócios e até mesmo bots de negociação automatizados. Uma sessão sequestrada permite que um invasor se passe pela vítima, leia mensagens privadas e potencialmente acesse códigos 2FA enviados via Telegram. Combinado com o acesso à carteira, isso cria uma perigosa ferramenta completa para o roubo.
"O malware se espalha através de versões trojanizadas de aplicativos populares para macOS, muitas vezes distribuídas por meio de links de phishing ou sites de download não oficiais", disse a SlowMist em seu relatório. A empresa identificou versões falsas do próprio Telegram como um vetor comum, bem como instaladores de carteiras de criptomoedas falsificados.
O macOS tem sido historicamente considerado uma plataforma mais segura para usuários de criptoativos em comparação com o Windows, mas esta campanha mostra que essa suposição não é mais confiável. O malware visa tanto as hot wallets (carteiras de software como MetaMask, Phantom) quanto quaisquer arquivos de chave privada armazenados localmente. A SlowMist observou que as técnicas de criptografia usadas são sofisticadas o suficiente para contornar os scanners antivírus básicos.
Para traders e investidores que usam macOS, a lição imediata é verificar a origem de cada download – especialmente para o Telegram e software de carteira. Armazenar frases-semente offline e usar carteiras de hardware para grandes saldos continua sendo a defesa mais forte. A SlowMist recomenda ativar a autenticação de dois fatores do Telegram com uma senha forte и revisar as sessões ativas regularmente.
A análise técnica completa da SlowMist está disponível em seu blog. Usuários que suspeitam de infecção devem revogar todas as sessões ativas do Telegram, transferir fundos para uma nova carteira gerada em um dispositivo limpo e executar uma verificação completa de malware.
Novo malware para macOS sequestra Telegram e ataca carteiras cripto
A empresa de segurança SlowMist afirma que uma nova campanha de malware para macOS rouba dados de login do Telegram e tenta decifrar chaves privadas de carteiras de criptomoedas. Aplicativos falsos e avisos de atualização enganam os usuários para que forneçam suas frases de recuperação, permitindo que os invasores esvaziem os fundos.