SlowMist warnt, macOS-Malware kapert Telegram und tauscht Wallets

SlowMist warnt, macOS-Malware könnte Telegram kapern und Krypto-Wallet-Apps ersetzen

Last Updated:
SlowMist warnt, macOS-Malware könnte Telegram kapern und Krypto-Wallet-Apps ersetzen
  • SlowMist sagt, gestohlene Telegram-Sitzungsdateien könnten normale Zwei-Faktor-Prüfungen umgehen können.
  • Die Malware zielt mindestens 16 Desktop-Wallets und Hunderte von Browser-Erweiterungen an
  • Fake Ledger- und Trezor-Apps können Wiederherstellungsphrasen, PINs und Passphrasen anfordern

Laut einem Bericht von SlowMist kann eine neu untersuchte macOS-Malware-Kampagne Telegram-Sitzungen kapern, Datenbanken für Kryptowährungs-Wallets kopieren und vertrauenswürdige Hardware-Wallet-Software durch irreführende Anwendungen ersetzen.

Der Angriff kam nach einem Bericht vom 8. Juli, der eine gefälschte BuilDAO-Community-Anwendung betraf, die auf Google Sites gehostet wurde. Die Opfer wurden zunächst zu einer gefälschten OAuth-Sicherheitsprüfung weitergeleitet, die sie anwies, eine AppleScript-Datei herunterzuladen oder einen Befehl in Terminal einzufügen. Nach der Ausführung installierte der Befehl eine universelle Mach-O-Nutzlast, die sowohl auf Intel-basierten als auch auf Apple-Silicon-Macs arbeiten konnte.

Gestohlene Telegram-Sitzungen können Zwei-Faktor-Prüfungen umgehen

SlowMist sagte, das Beispiel ähnle Atomic macOS Stealer-Varianten und sammelt deutlich mehr als gewöhnliche Zugangsdaten. Es zielt auf Keychain-Dateien, Browserpasswörter, Cookies, Apple Notes, Telegram-Daten und Dateien von mindestens 16 Desktop-Wallet-Anwendungen ab.

Forscher fanden Electrum, Exodus, Atomic Wallet, Bitcoin Core, Ledger Live, Trezor Suite und Sparrow unter den Zielprogrammen. Browser-Scans durchsuchten außerdem Hunderte von Wallet-Erweiterungs-Kennungen.

Allerdings basierte der Zugriff auf Telegram auf gestohlenen lokalen Sitzungsdateien und nicht auf einer umkämpften Zwei-Faktor-Authentifizierung. Während der Tests kopierten Forscher das „tdata“-Verzeichnis der Plattform auf einen anderen kompatiblen Mac.

Folglich wurde das Konto ohne Telefonnummer, Code oder zweistufiges Verifizierungspasswort eröffnet, da die Dateien eine bereits autorisierte Sitzung darstellten. SlowMist fügte hinzu, dass wiederhergestellter Zugriff möglicherweise nicht sofort als offensichtliches neues Gerät angezeigt wird, was die Benutzererkennung verzögert.

Fake-Wallet-Apps zielen auf Wiederherstellungsphrasen und PINs ab

Neben der Kompromittierung von Telegram-Sitzungen nutzte die macOS-Malware zwei verschiedene Methoden, um Kryptowährungs-Wallets ins Visier zu nehmen. Erstens kopierte es verschlüsselte Wallet-Datenbanken und sammelte dabei mögliche Passwörter aus Keychain, Browsern, Apple Notes und einem betrügerischen Administratorprompt.

Quelle: SlowMist

Während der Tests stellten Forscher eine Atomic Wallet-Datenbank wieder her und entschlüsselten sie erfolgreich offline mit einem der gesammelten Passwörter. Dies zeigte, wie gestohlene Wallet-Dateien und wiederverwendete Zugangsdaten gemeinsam Zugang zu geschützten Vermögenswerten ermöglichen können.

Unterdessen verfolgte die Malware einen zweiten Angriffsweg, indem sie legitime Ledger Live-, Ledger Wallet– und Trezor Suite-Installationen entfernte. Anschließend wurden sie durch Lookalike-Anwendungen ersetzt, die von Angreifern kontrollierte Webseiten unter bekannten Namen und Symbolen anzeigten.

Infolgedessen könnten die betrügerischen Kunden Wiederherstellungsphrasen, PINs oder Passphrasen anfordern, ohne eine echte Hardwarekommunikation herzustellen oder lokale Transaktionssignaturen durchzuführen. Daher stützte sich die Kampagne hauptsächlich auf Social Engineering und nicht auf eine neu offengelegte macOS-Schwachstelle.

Nach möglicher Exposition riet SlowMist den Nutzern, alle Telegram-Sitzungen von einem vertrauenswürdigen Gerät zu beenden, ihre Sicherheitsdaten zu aktualisieren und wiederverwendete Passwörter zu ersetzen. Bei möglichen Wallet-Kompromittierungen sollten Nutzer auf einem sauberen Gerät eine neue Wiederherstellungsphrase erstellen und ihre Vermögenswerte übertragen.

Verwandt: Diplomat t.me Domain-Sperre stört den Zugang zu TON Wallet und Krypto-Diensten

Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.