- SlowMist mengatakan file sesi Telegram yang dicuri dapat melewati pemeriksaan dua faktor normal
- Malware menargetkan setidaknya 16 dompet desktop dan ratusan ekstensi browser
- Aplikasi Ledger dan Trezor palsu dapat meminta frasa pemulihan, PIN, dan frasa sandi
Menurut sebuah laporan oleh SlowMist, kampanye malware macOS yang baru diperiksa dapat membajak sesi Telegram, menyalin database dompet cryptocurrency, dan mengganti perangkat lunak dompet perangkat keras tepercaya dengan aplikasi yang menipu.
Serangan itu muncul setelah laporan 8 Juli yang melibatkan aplikasi komunitas BuilDAO palsu yang dihosting di Google Sites. Korban pertama kali diarahkan ke pemeriksaan keamanan OAuth yang dibuat-buat, yang menginstruksikan mereka untuk mengunduh file AppleScript atau menempelkan perintah ke Terminal. Setelah dieksekusi, perintah tersebut menginstal muatan Mach-O universal yang mampu beroperasi pada Mac berbasis Intel dan Apple silicon.
Sesi Telegram yang dicuri dapat melewati pemeriksaan dua faktor
SlowMist mengatakan sampel tersebut menyerupai varian Atomic macOS Stealer dan mengumpulkan jauh lebih banyak daripada kredensial login biasa. Ini menargetkan file Rantai kunci, kata sandi browser, cookie, Apple Notes, data Telegram, dan file dari setidaknya 16 aplikasi dompet desktop.
Para peneliti menemukan Electrum, Exodus, Atomic Wallet, Bitcoin Core, Ledger Live, Trezor Suite, dan Sparrow di antara program yang ditargetkan. Pemindaian browser juga mencari ratusan pengidentifikasi ekstensi dompet.
Namun, akses Telegram bergantung pada file sesi lokal yang dicuri daripada otentikasi dua faktor yang dikalahkan. Selama pengujian, para peneliti menyalin direktori “tdata” platform ke Mac lain yang kompatibel.
Akibatnya, akun dibuka tanpa nomor telepon, kode, atau kata sandi verifikasi dua langkah, karena file tersebut mewakili sesi yang sudah diotorisasi. SlowMist menambahkan bahwa akses yang dipulihkan mungkin tidak segera muncul sebagai perangkat baru yang jelas, menunda deteksi pengguna.
Aplikasi Dompet Palsu Menargetkan Frasa Pemulihan dan PIN
Selain membahayakan sesi Telegram, malware macOS menggunakan dua metode terpisah untuk menargetkan dompet cryptocurrency. Pertama, ia menyalin database dompet terenkripsi sambil mengumpulkan kemungkinan kata sandi dari Rantai Kunci, browser, Apple Notes, dan prompt administrator penipuan.

Selama pengujian, para peneliti memulihkan database Atomic Wallet dan berhasil mendekripsinya secara offline menggunakan salah satu kata sandi yang dipanen. Ini menunjukkan bagaimana file dompet yang dicuri dan kredensial yang digunakan kembali dapat secara kolektif memberikan akses ke aset yang dilindungi.
Sementara itu, malware mengejar rute serangan kedua dengan menghapus instalasi Ledger Live, Ledger Wallet, dan Trezor Suite yang sah. Kemudian menggantinya dengan aplikasi mirip yang menampilkan halaman web yang dikendalikan penyerang dengan nama dan ikon yang sudah dikenal.
Akibatnya, klien penipuan dapat meminta frasa pemulihan, PIN, atau frasa sandi tanpa membuat komunikasi perangkat keras asli atau melakukan penandatanganan transaksi lokal. Oleh karena itu, kampanye ini terutama mengandalkan rekayasa sosial daripada mengeksploitasi kerentanan macOS yang baru diungkapkan.
Setelah kemungkinan terpapar, SlowMist menyarankan pengguna untuk menghentikan semua sesi Telegram dari perangkat tepercaya, memperbarui kredensial keamanan mereka, dan mengganti kata sandi yang digunakan kembali. Dalam kasus yang melibatkan potensi kompromi dompet, pengguna harus membuat frasa pemulihan baru pada perangkat bersih dan mentransfer aset mereka.
Terkait: Penangguhan Domain Telegram t.me Mengganggu Akses ke Dompet TON dan Layanan Kripto
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.