Назад до новин

Нове ПЗ для macOS зламує Telegram та атакує криптогаманці

За даними компанії з безпеки SlowMist, нова шкідлива кампанія для macOS краде дані для входу в Telegram і намагається розшифрувати приватні ключі криптогаманців, а підроблені додатки та сповіщення про оновлення змушують користувачів розкрити свої фрази відновлення. Зламаний сеанс у Telegram може розкрити приватні повідомлення та коди двофакторної автентифікації, а викрадена фраза відновлення дозволяє зловмисникам вивести кошти з криптогаманця з будь-якого пристрою.
За даними блокчейн-компанії з безпеки SlowMist, нова шкідлива кампанія для macOS активно краде облікові дані для зламу сеансів у Telegram та розшифровки криптовалютних гаманців. Шкідливе програмне забезпечення, виявлене командою з аналізу загроз компанії, також може обманом змусити користувачів надати фрази для відновлення гаманця через підроблені додатки, що виглядають як справжні.

Атака працює двома основними способами. По-перше, вона перехоплює облікові дані для входу в Telegram, що зберігаються на зараженому Mac, надаючи зловмисникам повний контроль над сеансом жертви в Telegram. По-друге, вона сканує встановлені криптовалютні гаманці та намагається розшифрувати їхні приватні ключі або seed-фрази. Якщо гаманець не є безпосередньо доступним, шкідливе ПЗ показує підроблені сповіщення про оновлення або фальшиві інтерфейси гаманців, які просять користувача ввести фразу відновлення. Щойно зловмисник отримує цю фразу, він може вивести кошти з гаманця з будь-якого пристрою.

Telegram широко використовується у спільнотах криптотрейдерів для групових чатів, координації угод і навіть автоматизованих торгових ботів. Зламаний сеанс дозволяє зловмиснику видавати себе за жертву, читати приватні повідомлення та потенційно отримувати доступ до кодів 2FA, надісланих через Telegram. У поєднанні з доступом до гаманця це створює небезпечний комплексний інструмент для крадіжки.

«Шкідливе ПЗ поширюється через троянізовані версії популярних додатків для macOS, які часто розповсюджуються через фішингові посилання або неофіційні сайти для завантаження», – йдеться у звіті SlowMist. Компанія визначила підроблені версії самого Telegram як поширений вектор, а також фальшиві інсталятори криптогаманців.

Історично macOS вважалася безпечнішою платформою для користувачів криптовалют порівняно з Windows, але ця кампанія показує, що таке припущення більше не є надійним. Шкідливе ПЗ націлене як на гарячі гаманці (програмні гаманці, такі як MetaMask, Phantom), так і на будь-які локально збережені файли приватних ключів. SlowMist зазначила, що використані методи шифрування є достатньо складними, щоб обійти базові антивірусні сканери.

Для трейдерів та інвесторів, які використовують macOS, головний висновок – перевіряти джерело кожного завантаження, особливо для Telegram та програмного забезпечення для гаманців. Зберігання seed-фраз офлайн та використання апаратних гаманців для великих балансів залишається найнадійнішим захистом. SlowMist рекомендує увімкнути двофакторну автентифікацію в Telegram з надійним паролем і регулярно перевіряти активні сеанси.

Повний технічний аналіз від SlowMist доступний у їхньому блозі. Користувачам, які підозрюють зараження, слід відкликати всі активні сеанси в Telegram, перевести кошти на новий гаманець, створений на чистому пристрої, та запустити повне сканування на наявність шкідливого ПЗ.

Пов'язані новини