Blockchain güvenlik firması SlowMist'e göre, yeni bir macOS zararlı yazılım kampanyası, Telegram oturumlarını ele geçirmek ve kripto para cüzdanlarını deşifre etmek için aktif olarak kimlik bilgilerini çalıyor. Firmanın tehdit istihbarat ekibi tarafından keşfedilen kötü amaçlı yazılım, aynı zamanda meşru görünmesi için tasarlanmış sahte uygulamalar aracılığıyla kullanıcıları cüzdan kurtarma ifadelerini vermeleri için kandırabiliyor.
Saldırı iki ana yolla işliyor. İlk olarak, virüs bulaşmış Mac'te saklanan Telegram giriş bilgilerini ele geçirerek saldırganlara kurbanın Telegram oturumu üzerinde tam kontrol sağlıyor. İkinci olarak, yüklü kripto para cüzdanlarını tarıyor ve özel anahtarlarını veya seed phrase'lerini deşifre etmeye çalışıyor. Cüzdana doğrudan erişilemiyorsa, zararlı yazılım kullanıcıdan kurtarma ifadesini girmesini isteyen sahte güncelleme bildirimleri veya sahte cüzdan arayüzleri gösteriyor. Saldırgan bu ifadeyi ele geçirdiğinde, cüzdanı herhangi bir cihazdan boşaltabiliyor.
Telegram, kripto ticaret topluluklarında grup sohbetleri, anlaşma koordinasyonu ve hatta otomatik ticaret botları için yaygın olarak kullanılıyor. Ele geçirilmiş bir oturum, saldırganın kurbanı taklit etmesine, özel mesajları okumasına ve potansiyel olarak Telegram üzerinden gönderilen 2FA kodlarına erişmesine olanak tanıyor. Bu durum, cüzdan erişimiyle birleştiğinde hırsızlık için tehlikeli bir ortam yaratıyor.
SlowMist raporunda, "Zararlı yazılım, genellikle oltalama bağlantıları veya resmi olmayan indirme siteleri aracılığıyla dağıtılan popüler macOS uygulamalarının Truva atı bulaştırılmış versiyonları yoluyla yayılıyor," dedi. Firma, Telegram'ın sahte versiyonlarının yanı sıra sahte kripto cüzdan yükleyicilerinin de yaygın bir vektör olduğunu tespit etti.
MacOS, tarihsel olarak Windows'a kıyasla kripto kullanıcıları için daha güvenli bir platform olarak kabul ediliyordu, ancak bu kampanya bu varsayımın artık güvenilir olmadığını gösteriyor. Zararlı yazılım hem sıcak cüzdanları (MetaMask, Phantom gibi yazılım cüzdanları) hem de yerel olarak depolanan tüm özel anahtar dosyalarını hedef alıyor. SlowMist, kullanılan şifreleme tekniklerinin temel antivirüs tarayıcılarını atlayacak kadar gelişmiş olduğunu belirtti.
MacOS kullanan yatırımcılar ve trader'lar için çıkarılması gereken acil ders, özellikle Telegram ve cüzdan yazılımları olmak üzere her indirmenin kaynağını doğrulamaktır. Seed phrase'leri çevrimdışı saklamak ve büyük bakiyeler için donanım cüzdanları kullanmak en güçlü savunma olmaya devam ediyor. SlowMist, Telegram'ın iki faktörlü kimlik doğrulamasını güçlü bir parola ile etkinleştirmeyi ve aktif oturumları düzenli olarak gözden geçirmeyi öneriyor.
SlowMist'in tam teknik analizi bloglarında mevcuttur. Enfeksiyondan şüphelenen kullanıcılar tüm aktif Telegram oturumlarını iptal etmeli, fonları temiz bir cihazda oluşturulmuş yeni bir cüzdana aktarmalı ve tam bir zararlı yazılım taraması yapmalıdır.
Yeni macOS zararlısı Telegram'ı ele geçirip kripto cüzdanları hedefliyor
Güvenlik firması SlowMist'e göre yeni bir macOS zararlı yazılım kampanyası, Telegram giriş bilgilerini çalıyor ve kripto cüzdanlarının özel anahtarlarını deşifre etmeye çalışıyor. Sahte uygulamalar ve güncelleme bildirimleri ise kullanıcıları kurtarma ifadelerini vermeleri için kandırarak fonlarını riske atıyor.