- SlowMist afirma que los archivos robados de sesiones de Telegram podrían eludir las comprobaciones normales de dos factores
- El malware apunta al menos a 16 carteras de escritorio y cientos de extensiones de navegador
- Las aplicaciones Fake Ledger y Trezor pueden solicitar frases de recuperación, PINs y contraseñas
Según un informe de SlowMist, una campaña de malware de macOS recién examinada puede secuestrar sesiones de Telegram, copiar bases de datos de monederos de criptomonedas y reemplazar software de hardware de confianza por aplicaciones engañosas.
El ataque surgió tras un informe del 8 de julio relacionado con una aplicación comunitaria falsa de BuilDAO alojada en Google Sites. Las víctimas eran redirigidas primero a una comprobación de seguridad OAuth fabricada, que les indicaba descargar un archivo AppleScript o pegar un comando en la Terminal. Una vez ejecutado, el comando instalaba una carga útil universal Mach-O capaz de funcionar tanto en Macs basados en Intel como en Apple Silicon.
Las sesiones robadas de Telegram pueden evitar controles de dos factores
SlowMist dijo que la muestra se asemeja a las variantes de Atomic macOS Stealer y recopila mucho más que las credenciales de inicio de sesión normales. Apunta a archivos de llavero, contraseñas de navegador, cookies, Apple Notes, datos de Telegram y archivos de al menos 16 aplicaciones de monedero de escritorio.
Los investigadores encontraron Electrum, Exodus, Atomic Wallet, Bitcoin Core, Ledger Live, Trezor Suite y Sparrow entre los programas objetivo. Los escaneos del navegador también buscaron cientos de identificadores de extensiones de cartera.
Sin embargo, el acceso a Telegram dependía de archivos locales de sesión robados en lugar de la autenticación de dos factores anulada. Durante las pruebas, los investigadores copiaron el directorio «tdata» de la plataforma a otro Mac compatible.
En consecuencia, la cuenta se abrió sin número de teléfono, código o contraseña de verificación en dos pasos, ya que los archivos representaban una sesión ya autorizada. SlowMist añadió que el acceso restaurado podría no aparecer inmediatamente como un dispositivo nuevo evidente, lo que retrasa la detección por parte del usuario.
Las aplicaciones de carteras falsas buscan frases de recuperación y PINs
Más allá de comprometer las sesiones de Telegram, el malware macOS utilizó dos métodos distintos para atacar carteras de criptomonedas. Primero, copió bases de datos cifradas de monederos mientras recopilaba posibles contraseñas de Keychain, navegadores, Apple Notes y un aviso fraudulento de administrador.

Durante las pruebas, los investigadores restauraron una base de datos de Atomic Wallet y la descifraron con éxito fuera de línea usando una de las contraseñas recolectadas. Esto demostró cómo los archivos robados de carteras y las credenciales reutilizadas podían proporcionar acceso conjunto a activos protegidos.
Mientras tanto, el malware siguió una segunda vía de ataque eliminando instalaciones legítimas de Ledger Live, Ledger Wallet y Trezor Suite . Luego los reemplazó por aplicaciones similares que mostraban páginas web controladas por el atacante bajo nombres e iconos familiares.
Como resultado, los clientes fraudulentos podían solicitar frases de recuperación, PIN o contraseñas sin establecer una comunicación real por hardware ni realizar la firma local de transacciones. Por ello, la campaña se basó principalmente en la ingeniería social en lugar de explotar una vulnerabilidad recién revelada de macOS.
Tras una posible exposición, SlowMist aconsejó a los usuarios terminar todas las sesiones de Telegram desde un dispositivo de confianza, actualizar sus credenciales de seguridad y reemplazar contraseñas reutilizadas. En casos que impliquen una posible posible pérdida de cartera, los usuarios deben generar una nueva frase de recuperación en un dispositivo limpio y transferir sus activos.
Relacionado: Telegram t.me suspensión de dominios interrumpe el acceso a los servicios de carteras TON y criptomonedas
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.