MacOS-вирус перехватывает сессии Telegram и ворует криптокошельки: отчет SlowMist

Компания по блокчейн-безопасности SlowMist выявила новую вредоносную программу для macOS, которая нацелена на криптовалютные кошельки и использует перехват сессий Telegram Desktop. Злоумышленники получают доступ к аутентифицированным данным и могут украсть средства.
Вредонос собирает информацию из macOS Keychain, куки Safari, заметок Apple Notes, а также баз данных более десятка криптокошельков. После сбора паролей и активных сессий программа копирует данные сессии Telegram Desktop, файлы кошельков и расширения браузерных кошельков.
Как пояснили в SlowMist, атакующие могут попытаться расшифровать украденные базы кошельков офлайн, используя пароли с зараженного устройства, или подменить легитимные приложения Ledger и Trezor поддельными, чтобы выманить сид-фразы. Эксперты воспроизвели цепочку атак в изолированной среде.
Под угрозой оказались программные кошельки Exodus, Atomic, Electrum, Wasabi и Monero, а также приложения для аппаратных кошельков Ledger Live и Trezor Suite. Вредонос также ищет данные полных нод Bitcoin Core, Litecoin Core, Dash Core и Dogecoin Core.
Отмечается, что двухфакторная аутентификация Telegram не предотвращает атаку, поскольку вредонос использует локальную аутентифицированную сессию, а не создает новый вход. В тестах исследователи восстановили украденные данные сессии на другом Mac без ввода номера телефона, кода подтверждения или пароля 2FA.
SlowMist рекомендует пользователям, подозревающим компрометацию устройств, немедленно завершить существующие сессии Telegram, установить новый доверенный вход и изменить пароль двухфакторной аутентификации и пароль Telegram Desktop. Также следует сгенерировать новую сид-фразу на чистом устройстве и перевести все активы на новые адреса.
.






ФинБи