Вредоносная программа для macOS перехватывает сессии Telegram и атакует криптовалютные кошельки: SlowMist

По данным компании SlowMist, занимающейся вопросами безопасности блокчейна, вредоносная программа для macOS, крадущая информацию, может перехватывать сессии Telegram Desktop и компрометировать криптовалютные кошельки.

Вредоносная программа собирает данные из Keychain macOS, cookie-файлов Safari, Apple Notes, Telegram Desktop и баз данных, связанных с более чем десятком криптовалютных кошельков.

После сбора паролей и аутентифицированных сессий вредоносная программа копирует данные аутентифицированных сессий Telegram Desktop пользователей, базы данных кошельков и данные расширений кошельков для браузеров.

По словам SlowMist, злоумышленники могут затем попытаться расшифровать украденные базы данных кошельков в автономном режиме, используя пароли, полученные с зараженного устройства, или заменить легитимные приложения Ledger и Trezor поддельными версиями, которые обманом заставляют пользователей вводить свои фразы восстановления. Компания по обеспечению безопасности воспроизвела цепочку атак в изолированной среде.

Вредоносный код MacOS, используемый для кражи ключей и паролей. Источник: SlowMist

Вредоносное ПО для MacOS нацелено на популярные криптокошельки

По данным SlowMist, вредоносное ПО объединяет несколько методов в скоординированную цепочку атак, позволяя злоумышленникам использовать различные способы взлома криптовалютных счетов и кошельков.

По данным SlowMist, вредоносное ПО нацелено на программные кошельки, включая Exodus, Atomic, Electrum, Wasabi и Monero, а также на аппаратные приложения-кошельки, такие как Ledger Live и Trezor Suite. Оно также ищет данные кошельков, хранящиеся в клиентах с полными узлами, включая Bitcoin Core, Litecoin Core, Dash Core и Dogecoin Core.

Двухфакторная аутентификация Telegram не предотвращает атаку, поскольку вредоносная программа использует аутентифицированную локальную сессию вместо создания нового логина, сообщает SlowMist. В ходе тестов исследователи восстановили украденные данные сессии Telegram Desktop на другом Mac без ввода номера телефона, кода подтверждения или пароля двухфакторной аутентификации.

SlowMist настоятельно рекомендовала пользователям, которые подозревают, что их устройства были взломаны, немедленно завершить существующие сессии Telegram, установить новый доверенный логин и изменить пароль двухфакторной аутентификации Telegram, а также пароль Telegram Desktop. Компания также рекомендовала сгенерировать новую фразу восстановления на чистом устройстве и перевести все активы на новые адреса.