Uusi macOS-haittaohjelma varastaa Telegram-tietoja ja kohdistuu kryptolompakoihin

Uusi macOS-haittaohjelma varastaa Telegram-tietoja ja kohdistuu kryptolompakoihin
MacOS-haittaohjelma

SlowMistin tietoturvatutkijat ovat tunnistaneet macOS-haittaohjelman, joka kykenee varastamaan tietoja Telegram Desktopista ja pääsemään käsiksi kryptovaluuttalompakoihin. Varastettuja tietoja voidaan käyttää Telegram-istuntojen palauttamiseen, lompakkotiedostojen purkamiseen tai siemenlauseiden (seed phrase) varastamiseen valesovellusten kautta.

Tämä artikkeli on käännetty alkuperäisestä tekstistä. Lue kirjeenvaihtajamme alkuperäinen versio täältä.

Tutkijoiden mukaan haittaohjelma kerää tietoja macOS:n Avainnipusta (Keychain), Safarin selain-tiedostoista, Apple Notesista, Telegram Desktopista sekä yli kymmenen eri kryptovaluuttalompakon tietokannoista.

Kun laite on saanut tartunnan, haittaohjelma kopioi todennetut Telegram -istuntotiedot, kryptovaluuttalompakoiden tiedostot sekä tiedot selainlaajennuksista, joita käytetään digitaalisen omaisuuden hallintaan.

Haittaohjelma kohdistuu suosittuihin kryptolompakoihin

SlowMistin tutkijat sanoivat, että hyökkääjät saattavat yrittää purkaa varastettujen lompakkotietokantojen salauksen käyttämällä saastuneelta laitteelta saatuja salasanoja. Toinen hyökkäystapa on korvata aidot Ledger Live- ja Trezor Suite -sovellukset valoversioilla, jotka kehottavat käyttäjiä syöttämään siemenlauseensa.

Tutkijat toisinsivat onnistuneesti koko hyökkäysketjun eristetyssä ympäristössä.

Haittaohjelma kohdistuu ohjelmistolompakoihin, mukaan lukien Exodus, Atomic Wallet, Electrum, Wasabi Wallet ja Monero. Se voi myös etsiä tietoja, jotka liittyvät Bitcoin Coren, Litecoin Coren, Dash Coren ja Dogecoin Coren täyssolmuihin (full nodes).

Kaksivaiheinen tunnistautuminen ei estä hyökkäystä

SlowMistin mukaan Telegramin kaksivaiheinen tunnistautuminen ei voi estää tätä hyökkäystä, koska haittaohjelma ei suorita uutta kirjautumista. Sen sijaan se käyttää uhrin laitteelle tallennettua, jo valmiiksi todennettua istuntoa.

Tutkijat osoittivat, että varastetut Telegram Desktop -istuntotiedot voidaan siirtää toiselle Mac-tietokoneelle ilman puhelinnumeroa, vahvistuskoodia tai kaksivaiheisen tunnistautumisen salasanaa.

SlowMist neuvoi käyttäjiä, jotka epäilevät laitteensa saastuneen, lopettamaan välittömästi kaikki aktiiviset Telegram-istunnot ja vaihtamaan sekä Telegramin kaksivaiheisen tunnistautumisen salasanan että Telegram Desktopin salasanan. Kryptovaluuttalompakoiden käyttäjiä kehotetaan myös luomaan uusi siemenlause turvallisella laitteella ja siirtämään varat uusiin osoitteisiin.

Kyberhyökkäystyökalujen määrän kasvaessa Immunefi raportoi, että kryptovaluuttaprojektit menettivät noin 972 miljoonaa dollaria 207 onnistuneessa hakkeroinnissa vuoden 2026 ensimmäisen puoliskon aikana, mikä on ennätysmäärä tapauksia.

Aiemmin hajautettu kaupankäyntiprotokolla Ostium keskeytti kaiken kaupankäynnin sen OLP-likviditeettipooliin vaikuttaneen välikohtauksen jälkeen. Kyberturvallisuusasiantuntijat arvioivat, että epäilty hyväksikäyttö on voinut johtaa 18–22 miljoonan dollarin tappioihin.

Tämä materiaali saattaa sisältää kolmansien osapuolten mielipiteitä, eikä mikään tällä verkkosivulla oleva tieto tai data muodosta sijoitusneuvontaa Vastuuvapauslausekkeemme mukaisesti. Vaikka noudatamme tiukkaa Toimituksellista Integriteettiä, tämä julkaisu saattaa sisältää viittauksia kumppaneidemme tuotteisiin.