- SlowMist diz que arquivos roubados de sessões do Telegram podem burlar as verificações normais de dois fatores
- O malware tem como alvo pelo menos 16 carteiras de desktop e centenas de extensões de navegador
- Apps Fake Ledger e Trezor podem solicitar frases de recuperação, PINs e senhas
De acordo com um relatório da SlowMist, uma campanha de malware recém-examinada no macOS pode sequestrar sessões do Telegram, copiar bancos de dados de carteiras de criptomoedas e substituir softwares confiáveis de carteiras de hardware por aplicativos enganosos.
O ataque surgiu após um relatório de 8 de julho envolvendo um aplicativo falso da comunidade BuilDAO hospedado no Google Sites. As vítimas eram primeiro redirecionadas para uma verificação de segurança OAuth fabricada, que as instruía a baixar um arquivo AppleScript ou colar um comando no Terminal. Uma vez executado, o comando instalava uma carga útil universal Mach-O capaz de operar tanto em Macs Intel quanto em Macs Apple Silicon.
Sessões de Telegram Roubadas Podem Burlar Verificações de Dois Fatores
O SlowMist disse que a amostra se assemelha às variantes do Atomic macOS Stealer e coleta muito mais do que credenciais de login comuns. Ele direciona arquivos de chaveiro, senhas do navegador, cookies, Apple Notes, dados do Telegram e arquivos de pelo menos 16 aplicativos de carteira desktop.
Pesquisadores encontraram Electrum, Exodus, Atomic Wallet, Bitcoin Core, Ledger Live, Trezor Suite e Sparrow entre os programas-alvo. Varreduras do navegador também buscaram centenas de identificadores de extensão de carteira.
No entanto, o acesso ao Telegram dependia de arquivos locais de sessão roubados, em vez de uma autenticação de dois fatores anulada. Durante os testes, pesquisadores copiaram o diretório “tdata” da plataforma para outro Mac compatível.
Consequentemente, a conta foi aberta sem número de telefone, código ou senha de verificação em dois passos, pois os arquivos representavam uma sessão já autorizada. O SlowMist acrescentou que o acesso restaurado pode não aparecer imediatamente como um novo dispositivo óbvio, atrasando a detecção do usuário.
Aplicativos de Carteira Falsa Visam Frases de Recuperação e PINs
Além de comprometer as sessões do Telegram, o malware macOS usou dois métodos distintos para atingir carteiras de criptomoedas. Primeiro, ele copiou bancos de dados criptografados de carteiras enquanto coletava possíveis senhas do Chaveiro, navegadores, Apple Notes e um aviso de administrador fraudulento.

Durante os testes, pesquisadores restauraram um banco de dados da Atomic Wallet e o descriptografaram com sucesso offline usando uma das senhas coletadas. Isso demonstrou como arquivos de carteiras roubados e credenciais reutilizadas poderiam fornecer coletivamente acesso a ativos protegidos.
Enquanto isso, o malware seguiu uma segunda rota de ataque removendo instalações legítimas do Ledger Live, Ledger Wallet e Trezor Suite . Depois, ele os substituiu por aplicativos semelhantes que exibiam páginas web controladas pelo atacante sob nomes e ícones familiares.
Como resultado, os clientes fraudulentos podiam solicitar frases de recuperação, PINs ou senhas sem estabelecer comunicação genuína por hardware ou realizar assinatura local de transações. Portanto, a campanha baseou-se principalmente em engenharia social em vez de explorar uma vulnerabilidade recém-revelada no macOS.
Após possível exposição, o SlowMist aconselhou os usuários a encerrar todas as sessões do Telegram a partir de um dispositivo confiável, atualizar suas credenciais de segurança e substituir senhas reutilizadas. Em casos que envolvam possível comprometimento de carteira, os usuários devem gerar uma nova frase de recuperação em um dispositivo limpo e transferir seus ativos.
Relacionado: Telegram t.me Suspensão de Domínio Interrompe o Acesso a Serviços de Carteira TON e Cripto
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.