Novo malware para macOS rouba dados do Telegram e visa carteiras de cripto

Novo malware para macOS rouba dados do Telegram e visa carteiras de cripto
Malware para macOS

Pesquisadores de segurança da SlowMist identificaram um malware para macOS capaz de roubar dados do Telegram Desktop e obter acesso a carteiras de criptomoedas. As informações roubadas podem ser usadas para restaurar sessões do Telegram, descriptografar arquivos de carteira ou roubar seed phrases por meio de aplicativos falsos.

Este artigo foi traduzido do original. Leia a versão original do nosso correspondente aqui.

De acordo com os pesquisadores, o malware coleta dados do Keychain do macOS, arquivos do navegador Safari, Apple Notes, Telegram Desktop e bancos de dados de mais de uma dezena de carteiras de criptomoedas.

Uma vez que o dispositivo é infectado, o malware copia dados de sessão autenticados do Telegram, arquivos de carteiras de criptomoedas e informações relacionadas a extensões de navegador usadas para gerenciar ativos digitais.

Malware visa carteiras de cripto populares

Os pesquisadores da SlowMist afirmaram que os invasores podem tentar descriptografar bancos de dados de carteiras roubados usando senhas obtidas do dispositivo comprometido. Outro vetor de ataque envolve a substituição de aplicativos legítimos do Ledger Live e Trezor Suite por versões falsas que solicitam aos usuários que insiram suas seed phrases.

Os pesquisadores reproduziram com sucesso toda a cadeia de ataque em um ambiente isolado.

O malware visa carteiras de software, incluindo Exodus, Atomic Wallet, Electrum, Wasabi Wallet e Monero. Ele também pode buscar dados associados a nós completos (full nodes) de Bitcoin Core, Litecoin Core, Dash Core e Dogecoin Core.

A autenticação de dois fatores não impede o ataque

De acordo com a SlowMist, a autenticação de dois fatores do Telegram não pode mitigar este ataque porque o malware não realiza um novo login. Em vez disso, ele utiliza uma sessão já autenticada armazenada no dispositivo da vítima.

Os pesquisadores demonstraram que os dados de sessão roubados do Telegram Desktop podem ser transferidos para outro computador Mac sem a necessidade de um número de telefone, código de verificação ou senha de autenticação de dois fatores.

A SlowMist aconselhou os usuários que suspeitam que seus dispositivos foram comprometidos a encerrar imediatamente todas as sessões ativas do Telegram e alterar tanto a senha de autenticação de dois fatores quanto a senha do Telegram Desktop. Os usuários de carteiras de criptomoedas também são incentivados a gerar uma nova seed phrase em um dispositivo seguro e transferir seus ativos para novos endereços.

Em meio ao crescente número de ferramentas de ciberataque, a Immunefi relatou que projetos de criptomoeda perderam aproximadamente US$ 972 milhões em 207 hacks bem-sucedidos durante o primeiro semestre de 2026, marcando um número recorde de incidentes.

Anteriormente, o protocolo de negociação descentralizado Ostium interrompeu todas as operações de trading após um incidente que afetou seu pool de liquidez OLP. Especialistas em cibersegurança estimam que o suposto exploit possa ter resultado em perdas variando de US$ 18 milhões a US$ 22 milhões.

Este material pode conter opiniões de terceiros, nenhum dos dados e informações nesta página constitui aconselhamento de investimento de acordo com o nosso Aviso Legal. Embora sigamos rigorosos Padrões Editoriais, este post pode conter referências a produtos de nossos parceiros.