SlowMist предупреждает, что вредоносное ПО для macOS захватывает Telegram, меняет кошельки

SlowMist предупреждает, что вредоносное ПО macOS может захватить Telegram и заменить приложения криптокошельков

Last Updated:
SlowMist предупреждает, что вредоносное ПО macOS может захватить Telegram и заменить приложения криптокошельков
  • SlowMist утверждает, что украденные файлы сессий Telegram могут обходить обычные двухфакторные проверки
  • Вредоносное ПО нацелено как минимум на 16 настольных кошельков и сотни расширений для браузера
  • Поддельные приложения Ledger и Trezor могут запрашивать фразы восстановления, PIN-коды и пароли

Согласно отчету SlowMist, недавно изученная кампания по вредоносному ПО macOS может захватывать сессии Telegram, копировать базы данных криптовалютных кошельков и заменять надёжное аппаратное программное обеспечение на обманчивые приложения.

Атака произошла после сообщения от 8 июля о фальшивом сообществе BuilDAO, размещённом на Google Sites. Жертвы сначала перенаправлялись на сфабрикованную проверку безопасности OAuth, которая приказывала им скачать файл AppleScript или вставить команду в Terminal. После выполнения команда устанавливала универсальную полезную нагрузку Mach-O, способную работать как на Mac на базе Intel, так и на Apple Silicon Mac.

Украденные сессии Telegram могут обойти двухфакторные проверки

SlowMist отметил, что образец похож на варианты Atomic macOS Stealer и собирает гораздо больше, чем обычные учетные данные для входа. Она нацелена на файлы Keychain, пароли браузеров, куки, Apple Notes, данные Telegram и файлы как минимум из 16 десктопных кошельков.

Исследователи обнаружили среди целевых программ Electrum, Exodus, Atomic Wallet, Bitcoin Core, Ledger Live, Trezor Suite и Sparrow. Сканирование браузера также обыскало сотни идентификаторов расширений кошелька.

Однако доступ к Telegram зависел от украденных локальных сессионных файлов, а не от двухфакторной аутентификации. Во время тестирования исследователи скопировали каталог «tdata» платформы на другой совместимый Mac.

В результате аккаунт открывался без номера телефона, кода или пароля для двухэтапной проверки, так как файлы представляли уже авторизованную сессию. SlowMist добавил, что восстановленный доступ может не выглядеть сразу как очевидное новое устройство, задерживая обнаружение пользователями.

Поддельные кошельки нацелены на восстановительные фразы и PIN-коды

Помимо компрометации сессий Telegram, вредоносное ПО macOS использовало два отдельных метода для атака криптовалютных кошельков. Во-первых, он копировал зашифрованные базы данных кошельков, одновременно собирая возможные пароли из Keychain, браузеров, Apple Notes и мошеннического подсказки администратора.

Источник: SlowMist

Во время тестирования исследователи восстановили базу данных Atomic Wallet и успешно расшифровали её офлайн, используя один из собранных паролей. Это продемонстрировало, как украденные файлы кошельков и повторно использованные учетные данные могут вместе обеспечивать доступ к защищённым активам.

Тем временем вредоносное ПО предприняло второй путь атаки, удалив легитимные установки Ledger Live, Ledger Wallet и Trezor Suite . Затем их заменили на похожие приложения, которые показывали веб-страницы, контролируемые злоумышленниками, под знакомыми именами и иконками.

В результате мошеннические клиенты могли запрашивать фразы восстановления, PIN-коды или пароли без установления подлинной аппаратной связи или локального подписания транзакций. Поэтому кампания в первую очередь опиралась на социальную инженерию, а не на использование недавно раскрытой уязвимости macOS.

После возможного раскрытия SlowMist рекомендовал пользователям прекратить все сессии Telegram с доверенного устройства, обновить учетные данные безопасности и заменить повторно использованные пароли. В случаях с возможной угрозой кошелька пользователям следует создать новую фразу восстановления на чистом устройстве и перенести свои активы.

Связано: Приостановка домена t.me Telegram нарушает доступ к TON Wallet и криптосервисам

Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.