SlowMist avertit que le malware macOS détourne Telegram et échange de portefeuilles

SlowMist avertit que des malwares macOS peuvent détourner Telegram et remplacer les applications de portefeuille crypto

Last Updated:
SlowMist avertit que des malwares macOS peuvent détourner Telegram et remplacer les applications de portefeuille crypto
  • SlowMist indique que les fichiers de session Telegram volés pourraient contourner les vérifications à deux facteurs normales
  • Le malware cible au moins 16 portefeuilles de bureau et des centaines d’extensions de navigateur
  • Les applications Fake Ledger et Trezor peuvent demander des phrases de récupération, des codes PIN et des mots secrètes

Selon un rapport de SlowMist, une campagne de malware sur macOS récemment examinée peut détourner des sessions Telegram, copier des bases de données de portefeuilles de cryptomonnaies et remplacer des logiciels matériels de portefeuille fiables par des applications trompeuses.

L’attaque est apparue après un rapport du 8 juillet concernant une fausse application communautaire BuilDAO hébergée sur Google Sites. Les victimes étaient d’abord redirigées vers un contrôle de sécurité OAuth fabriqué, qui leur demandait de télécharger un fichier AppleScript ou de coller une commande dans le Terminal. Une fois exécutée, la commande installait une charge utile universelle Mach-O capable de fonctionner aussi bien sur des Mac Intel que sur Apple Silicon.

Les sessions Telegram volées peuvent contourner les vérifications à deux facteurs

SlowMist a indiqué que l’échantillon ressemble aux variantes d’Atomic macOS Stealer et recueille bien plus que les identifiants de connexion ordinaires. Il cible les fichiers porte-clés, les mots de passe des navigateurs, les cookies, les notes Apple, les données Telegram, ainsi que les fichiers d’au moins 16 applications de portefeuille de bureau.

Les chercheurs ont identifié Electrum, Exodus, Atomic Wallet, Bitcoin Core, Ledger Live, Trezor Suite et Sparrow parmi les programmes ciblés. Les scans du navigateur ont également recherché des centaines d’identifiants d’extensions de portefeuille.

Cependant, l’accès à Telegram dépendait plutôt de fichiers de session locaux volés que d’une authentification à deux facteurs annulée. Lors des tests, les chercheurs ont copié le répertoire « tdata » de la plateforme sur un autre Mac compatible.

Par conséquent, le compte s’ouvrait sans numéro de téléphone, code ou mot de passe de vérification en deux étapes, car les fichiers représentaient une session déjà autorisée. SlowMist a ajouté que l’accès restauré pourrait ne pas apparaître immédiatement comme un nouvel appareil évident, retardant ainsi la détection par l’utilisateur.

Les faux applications de portefeuille ciblent les phrases de récupération et les codes PIN

Au-delà de compromettre les sessions Telegram, le malware macOS utilisait deux méthodes distinctes pour cibler les portefeuilles cryptomonnaies. Premièrement, il copiait des bases de données de portefeuilles chiffrées tout en collectant des mots de passe possibles depuis Keychain, navigateurs, Apple Notes et une invite d’administrateur frauduleux.

Source : SlowMist

Lors des tests, les chercheurs ont restauré une base de données Atomic Wallet et l’ont décryptée avec succès hors ligne en utilisant l’un des mots de passe récoltés. Cela a démontré comment les fichiers de portefeuille volés et les identifiants réutilisés pouvaient collectivement fournir un accès à des actifs protégés.

Pendant ce temps, le malware a poursuivi une seconde voie d’attaque en supprimant les installations légitimes de Ledger Live, Ledger Wallet et Trezor Suite . Il les a ensuite remplacées par des applications similaires affichant des pages web contrôlées par l’attaquant sous des noms et icônes familiers.

En conséquence, les clients frauduleux pouvaient demander des phrases de récupération, des codes PIN ou des phrases secrètes sans établir une véritable communication matérielle ni effectuer la signature locale des transactions. Par conséquent, la campagne s’est surtout appuyée sur l’ingénierie sociale plutôt que sur l’exploitation d’une vulnérabilité nouvellement révélée sur macOS.

Suite à une éventuelle révélation, SlowMist a conseillé aux utilisateurs de terminer toutes les sessions Telegram depuis un appareil de confiance, de mettre à jour leurs identifiants de sécurité et de remplacer les mots de passe réutilisés. Dans les cas impliquant une possible compromission du portefeuille, les utilisateurs doivent générer une nouvelle phrase de récupération sur un appareil propre et transférer leurs actifs.

À lire aussi : Telegram t.me la suspension du domaine perturbe l’accès aux services TON Wallet et crypto

Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.