새로운 macOS 악성코드가 텔레그램 데이터를 탈취하고 암호화폐 지갑을 노립니다

새로운 macOS 악성코드가 텔레그램 데이터를 탈취하고 암호화폐 지갑을 노립니다
MacOS 악성코드

SlowMist의 보안 연구원들이 텔레그램 데스크톱(Telegram Desktop)에서 데이터를 탈취하고 암호화폐 지갑에 접근할 수 있는 macOS 악성코드를 식별했습니다. 탈취된 정보는 텔레그램 세션을 복구하거나, 지갑 파일을 해독하거나, 가짜 애플리케이션을 통해 시드 구문을 훔치는 데 사용될 수 있습니다.

이 기사는 원문을 번역한 것입니다. 당사 특파원이 작성한 원문은 여기에서 확인하실 수 있습니다.

연구원들에 따르면, 이 악성코드는 macOS 키체인(Keychain), 사파리(Safari) 브라우저 파일, 애플 메모(Apple Notes), 텔레그램 데스크톱 및 12개 이상의 암호화폐 지갑 데이터베이스에서 데이터를 수집합니다.

장치가 감염되면 악성코드는 인증된 Telegram 세션 데이터, 암호화폐 지갑 파일 및 디지털 자산 관리에 사용되는 브라우저 확장 프로그램 관련 정보를 복사합니다.

악성코드가 인기 암호화폐 지갑을 노립니다

SlowMist 연구원들은 공격자가 침해된 장치에서 얻은 비밀번호를 사용하여 탈취한 지갑 데이터베이스의 해독을 시도할 수 있다고 밝혔습니다. 또 다른 공격 벡터는 정식 Ledger Live 및 Trezor Suite 애플리케이션을 사용자가 시드 구문을 입력하도록 유도하는 가짜 버전으로 교체하는 것입니다.

연구원들은 격리된 환경에서 전체 공격 체인을 성공적으로 재현했습니다.

이 악성코드는 Exodus, Atomic Wallet, Electrum, Wasabi Wallet, Monero를 포함한 소프트웨어 지갑을 노립니다. 또한 Bitcoin Core, Litecoin Core, Dash Core 및 Dogecoin Core의 풀 노드와 관련된 데이터를 검색할 수 있습니다.

2단계 인증으로도 공격을 막을 수 없습니다

SlowMist에 따르면, 텔레그램의 2단계 인증은 이 공격을 완화할 수 없습니다. 악성코드가 새로운 로그인을 수행하는 것이 아니라 피해자의 장치에 저장된 이미 인증된 세션을 사용하기 때문입니다.

연구원들은 탈취된 텔레그램 데스크톱 세션 데이터가 전화번호, 인증 코드 또는 2단계 인증 비밀번호 없이도 다른 Mac 컴퓨터로 전송될 수 있음을 입증했습니다.

SlowMist는 장치 침해가 의심되는 사용자에게 즉시 모든 활성 텔레그램 세션을 종료하고 텔레그램 2단계 인증 비밀번호와 텔레그램 데스크톱 비밀번호를 모두 변경할 것을 권고했습니다. 암호화폐 지갑 사용자 또한 보안이 확보된 장치에서 새로운 시드 구문을 생성하고 자산을 새 주소로 옮길 것을 권장합니다.

사이버 공격 도구가 증가하는 가운데, Immunefi는 2026년 상반기 동안 암호화폐 프로젝트들이 207건의 성공적인 해킹을 통해 약 9억 7,200만 달러의 손실을 입었으며, 이는 역대 최다 사건 수를 기록했다고 보고했습니다.

앞서 탈중앙화 거래 프로토콜인 Ostium은 OLP 유동성 풀에 영향을 미친 사건 이후 모든 거래 운영을 중단했습니다. 사이버 보안 전문가들은 해당 익스플로잇 의심 사례로 인해 1,800만 달러에서 2,200만 달러 사이의 손실이 발생했을 것으로 추정하고 있습니다.

이 자료는 제3자의 의견을 포함할 수 있으며, 이 웹페이지의 데이터 및 정보는 우리의 면책 조항에 따라 투자 조언을 구성하지 않습니다. 우리는 엄격한 편집 무결성을 준수하지만, 이 게시물에는 파트너의 제품에 대한 언급이 포함될 수 있습니다.