Согласно данным блокчейн-компании по безопасности SlowMist, новая вредоносная кампания для macOS активно похищает учетные данные для захвата сессий Telegram и расшифровки криптовалютных кошельков. Вредоносное ПО, обнаруженное командой по анализу угроз компании, также может обманом заставлять пользователей вводить фразы восстановления кошельков через поддельные приложения, выглядящие как легитимные.
Атака работает двумя основными способами. Во-первых, она перехватывает учетные данные для входа в Telegram, хранящиеся на зараженном Mac, предоставляя злоумышленникам полный контроль над сессией жертвы в Telegram. Во-вторых, она сканирует установленные криптовалютные кошельки и пытается расшифровать их приватные ключи или сид-фразы. Если прямой доступ к кошельку невозможен, вредоносная программа отображает поддельные запросы на обновление или фальшивые интерфейсы кошельков, которые просят пользователя ввести фразу восстановления. Как только злоумышленник получает эту фразу, он может опустошить кошелек с любого устройства.
Telegram широко используется в криптотрейдинговых сообществах для групповых чатов, координации сделок и даже для автоматизированных торговых ботов. Захваченная сессия позволяет злоумышленнику выдавать себя за жертву, читать личные сообщения и потенциально получать доступ к кодам двухфакторной аутентификации, отправленным через Telegram. В сочетании с доступом к кошельку это создает опасный универсальный инструмент для кражи.
«Вредоносное ПО распространяется через троянизированные версии популярных приложений для macOS, часто распространяемые по фишинговым ссылкам или через неофициальные сайты для загрузки», – говорится в отчете SlowMist. Компания определила поддельные версии самого Telegram как распространенный вектор атаки, а также фальшивые установщики криптокошельков.
Исторически macOS считалась более безопасной платформой для пользователей криптовалют по сравнению с Windows, но эта кампания показывает, что такое предположение больше не является надежным. Вредоносная программа нацелена как на горячие кошельки (программные кошельки, такие как MetaMask, Phantom), так и на любые локально сохраненные файлы с приватными ключами. SlowMist отметила, что используемые методы шифрования достаточно сложны, чтобы обходить базовые антивирусные сканеры.
Для трейдеров и инвесторов, использующих macOS, главный вывод – проверять источник каждой загрузки, особенно для Telegram и программного обеспечения для кошельков. Хранение сид-фраз в офлайне и использование аппаратных кошельков для крупных балансов остается самой надежной защитой. SlowMist рекомендует включить двухфакторную аутентификацию в Telegram с надежным паролем и регулярно проверять активные сессии.
Полный технический анализ от SlowMist доступен в их блоге. Пользователям, подозревающим заражение, следует отозвать все активные сессии Telegram, перевести средства на новый кошелек, созданный на чистом устройстве, и запустить полную проверку на наличие вредоносных программ.
Новый вирус для macOS крадет данные Telegram и криптокошельков
Компания по безопасности SlowMist сообщает о новой вредоносной программе для macOS, которая похищает данные для входа в Telegram и пытается расшифровать приватные ключи от криптокошельков. Поддельные приложения и запросы на обновление обманом заставляют пользователей вводить свои фразы восстановления, что позволяет злоумышленникам опустошить кошельки.