Эксперты выявили вредоносное ПО для macOS, атакующее Telegram и криптокошельки

Эксперты выявили вредоносное ПО для macOS, атакующее Telegram и криптокошельки
Вредоносное ПО для macOS

Специалисты по кибербезопасности из SlowMist выявили вредоносное ПО для macOS, способное похищать данные из Telegram Desktop и получать доступ к криптовалютным кошелькам. Украденная информация может быть использована для восстановления сессий Telegram, расшифровки файлов кошельков или кражи seed-фраз через поддельные приложения.

Эта статья была переведена с оригинала. Читайте оригинальную версию от нашего корреспондента здесь.

По данным исследователей, вредоносное ПО собирает данные из Связки ключей (Keychain) macOS, файлов браузера Safari, Apple Notes, Telegram Desktop и баз данных более чем десятка криптовалютных кошельков.

После заражения устройства вредоносное ПО копирует данные аутентифицированных сессий Telegram, файлы криптовалютных кошельков и информацию, связанную с браузерными расширениями для управления цифровыми активами.

Вредоносное ПО нацелено на популярные криптокошельки

Исследователи SlowMist сообщили, что злоумышленники могут попытаться расшифровать украденные базы данных кошельков, используя пароли, полученные с зараженного устройства. Другой вектор атаки включает замену легитимных приложений Ledger Live и Trezor Suite поддельными версиями, которые запрашивают у пользователей ввод seed-фраз.

Исследователи успешно воспроизвели всю цепочку атаки в изолированной среде.

Вредоносное ПО нацелено на программные кошельки, включая Exodus, Atomic Wallet, Electrum, Wasabi Wallet и Monero. Оно также может искать данные, связанные с полными узлами Bitcoin Core, Litecoin Core, Dash Core и Dogecoin Core.

Двухфакторная аутентификация не предотвращает атаку

По данным SlowMist, двухфакторная аутентификация Telegram не может предотвратить эту атаку, так как вредоносное ПО не выполняет новый вход в систему. Вместо этого оно использует уже аутентифицированную сессию, хранящуюся на устройстве жертвы.

Исследователи продемонстрировали, что украденные данные сессии Telegram Desktop могут быть перенесены на другой компьютер Mac без необходимости ввода номера телефона, кода подтверждения или пароля двухфакторной аутентификации.

SlowMist рекомендовала пользователям, подозревающим компрометацию своих устройств, немедленно завершить все активные сессии Telegram и изменить как пароль двухфакторной аутентификации Telegram, так и пароль Telegram Desktop. Пользователям криптовалютных кошельков также рекомендуется создать новую seed-фразу на безопасном устройстве и перевести свои активы на новые адреса.

На фоне растущего числа инструментов для кибератак компания Immunefi сообщила, что криптовалютные проекты потеряли около $972 млн в результате 207 успешных хакерских атак в первой половине 2026 года, что стало рекордным количеством инцидентов.

Ранее протокол децентрализованной торговли Ostium приостановил все торговые операции после инцидента, затронувшего его пул ликвидности OLP. Эксперты по кибербезопасности оценивают возможные убытки от предполагаемого эксплойта в размере от $18 млн до $22 млн.

Этот материал может содержать мнения третьих лиц, никакие данные и информация на этой веб-странице не являются инвестиционным советом в соответствии с нашим Отказом от ответственности. Хотя мы придерживаемся строгих Редакционных стандартов, этот пост может содержать ссылки на продукты наших партнеров.
Топ бонусов недели
до $2,500
бонус за депозит для всех клиентов
ПОЛУЧИТЬ БОНУС
Ваш капитал находится под угрозой.