Експерти виявили шкідливе ПЗ для macOS, яке атакує Telegram та криптогаманці

Експерти виявили шкідливе ПЗ для macOS, яке атакує Telegram та криптогаманці
Шкідливе ПЗ для macOS

Дослідники з кібербезпеки SlowMist ідентифікували шкідливе ПЗ для macOS, здатне викрадати дані з Telegram Desktop та отримувати доступ до криптовалютних гаманців. Викрадена інформація може бути використана для відновлення сесій Telegram, дешифрування файлів гаманців або викрадення seed-фраз через підроблені додатки.

Ця стаття була перекладена з оригіналу. Читайте оригінальну версію від нашого кореспондента тут.

За даними дослідників, шкідливе ПЗ збирає дані з macOS Keychain, файлів браузера Safari, Apple Notes, Telegram Desktop та баз даних понад десятка криптовалютних гаманців.

Після зараження пристрою шкідливе ПЗ копіює автентифіковані дані сесій Telegram, файли криптовалютних гаманців та інформацію, пов'язану з розширеннями браузера, що використовуються для управління цифровими активами.

Шкідливе ПЗ атакує популярні криптогаманці

Дослідники SlowMist повідомили, що зловмисники можуть намагатися дешифрувати викрадені бази даних гаманців, використовуючи паролі, отримані з компрометованого пристрою. Інший вектор атаки передбачає заміну легітимних додатків Ledger Live та Trezor Suite підробленими версіями, які просять користувачів ввести їхні seed-фрази.

Дослідники успішно відтворили весь ланцюжок атаки в ізольованому середовищі.

Шкідливе ПЗ націлене на програмні гаманці, включаючи Exodus, Atomic Wallet, Electrum, Wasabi Wallet та Monero. Воно також може шукати дані, пов'язані з повними нодами Bitcoin Core, Litecoin Core, Dash Core та Dogecoin Core.

Двофакторна автентифікація не запобігає атаці

За даними SlowMist, двофакторна автентифікація Telegram не може нівелювати цю атаку, оскільки шкідливе ПЗ не здійснює новий вхід. Замість цього воно використовує вже автентифіковану сесію, що зберігається на пристрої жертви.

Дослідники продемонстрували, що викрадені дані сесії Telegram Desktop можна перенести на інший комп'ютер Mac без номера телефону, коду підтвердження або пароля двофакторної автентифікації.

SlowMist порадили користувачам, які підозрюють компрометацію своїх пристроїв, негайно завершити всі активні сесії Telegram та змінити пароль двофакторної автентифікації Telegram і пароль Telegram Desktop. Користувачам криптовалютних гаманців також рекомендується згенерувати нову seed-фразу на безпечному пристрої та переказати свої активи на нові адреси.

На тлі зростання кількості інструментів для кібератак, Immunefi повідомила, що криптовалютні проєкти втратили приблизно $972 млн у 207 успішних хакерських атаках протягом першої половини 2026 року, що стало рекордною кількістю інцидентів.

Раніше децентралізований торговий протокол Ostium призупинив усі торгові операції після інциденту, що вплинув на його пул ліквідності OLP. Експерти з кібербезпеки оцінюють, що ймовірний експлойт міг призвести до збитків у розмірі від $18 млн до $22 млн.

Цей матеріал може містити думки третіх сторін, жодні дані та інформація на цій веб-сторінці не є інвестиційною порадою згідно з нашим Застереженням. Хоча ми дотримуємося суворої Редакційної неупередженості, цей пост може містити посилання на продукти наших партнерів.