Pavlo Kot

Nuovo malware per macOS ruba dati di Telegram e prende di mira i wallet crypto

Nuovo malware per macOS ruba dati di Telegram e prende di mira i wallet crypto
Malware per macOS

I ricercatori di sicurezza di SlowMist hanno identificato un malware per macOS in grado di rubare dati da Telegram Desktop e ottenere l'accesso ai wallet di criptovalute. Le informazioni rubate possono essere utilizzate per ripristinare le sessioni di Telegram, decriptare i file dei wallet o rubare le seed phrase attraverso applicazioni contraffatte.

Questo articolo è stato tradotto dall'originale. Leggi la versione originale del nostro corrispondente qui.

Secondo i ricercatori, il malware raccoglie dati dal Keychain di macOS, dai file del browser Safari, da Apple Notes, da Telegram Desktop e dai database di oltre una dozzina di wallet di criptovalute.

Una volta infettato il dispositivo, il malware copia i dati delle sessioni autenticate di Telegram, i file dei wallet di criptovalute e le informazioni relative alle estensioni del browser utilizzate per la gestione degli asset digitali.

Il malware prende di mira i popolari wallet crypto

I ricercatori di SlowMist hanno affermato che gli aggressori potrebbero tentare di decriptare i database dei wallet rubati utilizzando le password ottenute dal dispositivo compromesso. Un altro vettore di attacco prevede la sostituzione delle applicazioni legittime Ledger Live e Trezor Suite con versioni contraffatte che richiedono agli utenti di inserire le proprie seed phrase.

I ricercatori hanno riprodotto con successo l'intera catena di attacco in un ambiente isolato.

Il malware prende di mira wallet software tra cui Exodus, Atomic Wallet, Electrum, Wasabi Wallet e Monero. Può anche cercare dati associati ai nodi completi di Bitcoin Core, Litecoin Core, Dash Core e Dogecoin Core.

L'autenticazione a due fattori non impedisce l'attacco

Secondo SlowMist, l'autenticazione a due fattori di Telegram non può mitigare questo attacco perché il malware non esegue un nuovo login. Al contrario, utilizza una sessione già autenticata memorizzata sul dispositivo della vittima.

I ricercatori hanno dimostrato che i dati delle sessioni di Telegram Desktop rubati possono essere trasferiti su un altro computer Mac senza richiedere un numero di telefono, un codice di verifica o una password per l'autenticazione a due fattori.

SlowMist ha consigliato agli utenti che sospettano che i propri dispositivi siano stati compromessi di terminare immediatamente tutte le sessioni attive di Telegram e di cambiare sia la password dell'autenticazione a due fattori di Telegram che la password di Telegram Desktop. Gli utenti di wallet di criptovalute sono inoltre incoraggiati a generare una nuova seed phrase su un dispositivo sicuro e a trasferire i propri asset verso nuovi indirizzi.

In un contesto di crescente numero di strumenti per cyberattacchi, Immunefi ha riferito che i progetti di criptovaluta hanno perso circa 972 milioni di dollari in 207 hack andati a segno durante la prima metà del 2026, segnando un numero record di incidenti.

In precedenza, il protocollo di trading decentralizzato Ostium ha interrotto tutte le operazioni di trading dopo un incidente che ha colpito il suo pool di liquidità OLP. Gli esperti di cybersicurezza stimano che il sospetto exploit possa aver causato perdite comprese tra 18 e 22 milioni di dollari.

Questo materiale può contenere opinioni di terze parti, nessuno dei dati e delle informazioni su questa pagina web costituisce consulenza sugli investimenti secondo il nostro Disclaimer. Sebbene aderiamo a una rigorosa Integrità Editoriale, questo post può contenere riferimenti a prodotti dei nostri partner.