Un nouveau malware macOS dérobe des données Telegram et cible les portefeuilles crypto

Un nouveau malware macOS dérobe des données Telegram et cible les portefeuilles crypto
Malware MacOS

Les chercheurs en sécurité de SlowMist ont identifié un malware macOS capable de voler des données de Telegram Desktop et d'accéder à des portefeuilles de cryptomonnaies. Les informations dérobées peuvent être utilisées pour restaurer des sessions Telegram, décrypter des fichiers de portefeuilles ou voler des phrases de récupération (seed phrases) via de fausses applications.

Cet article a été traduit de l'original. Lisez la version originale de notre correspondant ici.

Selon les chercheurs, le malware collecte des données du Trousseau d'accès (Keychain) macOS, des fichiers du navigateur Safari, d'Apple Notes, de Telegram Desktop et des bases de données de plus d'une douzaine de portefeuilles de cryptomonnaies.

Une fois l'appareil infecté, le malware copie les données de session Telegram authentifiées, les fichiers de portefeuilles de cryptomonnaies et les informations relatives aux extensions de navigateur utilisées pour la gestion d'actifs numériques.

Le malware cible des portefeuilles crypto populaires

Les chercheurs de SlowMist ont déclaré que les attaquants pourraient tenter de décrypter les bases de données de portefeuilles volées en utilisant des mots de passe obtenus sur l'appareil compromis. Un autre vecteur d'attaque consiste à remplacer les applications légitimes Ledger Live et Trezor Suite par des versions factices qui incitent les utilisateurs à saisir leurs phrases de récupération.

Les chercheurs ont réussi à reproduire l'intégralité de la chaîne d'attaque dans un environnement isolé.

Le malware cible des portefeuilles logiciels, notamment Exodus, Atomic Wallet, Electrum, Wasabi Wallet et Monero. Il peut également rechercher des données associées aux nœuds complets (full nodes) de Bitcoin Core, Litecoin Core, Dash Core et Dogecoin Core.

L'authentification à deux facteurs n'empêche pas l'attaque

Selon SlowMist, l'authentification à deux facteurs de Telegram ne peut pas atténuer cette attaque car le malware n'effectue pas de nouvelle connexion. Au lieu de cela, il utilise une session déjà authentifiée stockée sur l'appareil de la victime.

Les chercheurs ont démontré que les données de session Telegram Desktop volées peuvent être transférées vers un autre ordinateur Mac sans nécessiter de numéro de téléphone, de code de vérification ou de mot de passe d'authentification à deux facteurs.

SlowMist a conseillé aux utilisateurs qui soupçonnent que leurs appareils ont été compromis de mettre fin immédiatement à toutes les sessions Telegram actives et de changer à la fois leur mot de passe d'authentification à deux facteurs Telegram et leur mot de passe Telegram Desktop. Les utilisateurs de portefeuilles de cryptomonnaies sont également encouragés à générer une nouvelle phrase de récupération sur un appareil sécurisé et à transférer leurs actifs vers de nouvelles adresses.

Face au nombre croissant d'outils de cyberattaque, Immunefi a rapporté que les projets de cryptomonnaies ont perdu environ 972 millions de dollars à travers 207 piratages réussis au cours du premier semestre 2026, marquant un nombre record d'incidents.

Plus tôt, le protocole de trading décentralisé Ostium a interrompu toutes les opérations de trading après un incident affectant son pool de liquidité OLP. Les experts en cybersécurité estiment que l'exploit suspecté pourrait avoir entraîné des pertes allant de 18 à 22 millions de dollars.

Ce matériel peut contenir des opinions de tiers, aucune des données et informations sur cette page web ne constitue un conseil en investissement selon notre Avertissement. Bien que nous respections une stricte Intégrité Éditoriale, ce post peut contenir des références à des produits de nos partenaires.