新型 macOS 恶意软件窃取 Telegram 数据并针对加密钱包

新型 macOS 恶意软件窃取 Telegram 数据并针对加密钱包
MacOS 恶意软件

SlowMist 的安全研究人员发现了一种 macOS 恶意软件,能够从 Telegram 桌面端窃取数据并获取加密货币钱包的访问权限。被盗信息可用于恢复 Telegram 会话、解密钱包文件,或通过伪造应用程序窃取助记词。

本文翻译自原文。点击此处阅读由我们的通讯员撰写的原文.

据研究人员称,该恶意软件会从 macOS 钥匙串 (Keychain)、Safari 浏览器文件、Apple 备忘录、Telegram 桌面端以及十几个加密货币钱包的数据库中收集数据。

一旦设备受到感染,该恶意软件就会复制已认证的 Telegram 会话数据、加密货币钱包文件,以及与用于管理数字资产的浏览器扩展程序相关的信息。

恶意软件针对热门加密货币钱包

SlowMist 研究人员表示,攻击者可能会尝试使用从受损设备获取的密码来解密被盗的钱包数据库。另一种攻击手段是将正版的 Ledger Live 和 Trezor Suite 应用程序替换为伪造版本,诱导用户输入助记词。

研究人员在隔离环境中成功复现了整个攻击链。

该恶意软件针对的软件钱包包括 Exodus 、Atomic Wallet、Electrum、Wasabi Wallet 和 Monero。它还可以搜索与 Bitcoin Core、Litecoin Core、Dash Core 和 Dogecoin Core 全节点相关的数据。

双重身份验证无法阻止此类攻击

根据 SlowMist 的说法,Telegram 的双重身份验证 (2FA) 无法缓解此类攻击,因为该恶意软件并不执行新登录。相反,它使用的是存储在受害者设备上且已经过身份验证的会话。

研究人员证实,被盗的 Telegram 桌面端会话数据可以传输到另一台 Mac 电脑上,而无需电话号码、验证码或双重身份验证密码。

SlowMist 建议怀疑设备已受损的用户立即终止所有活跃的 Telegram 会话,并更改其 Telegram 双重身份验证密码和 Telegram 桌面端密码。同时,鼓励加密货币钱包用户在安全设备上生成新的助记词,并将资产转移到新地址。

在网络攻击工具日益增多的背景下,Immunefi 报告称,加密货币项目在 2026 年上半年通过 207 次成功的黑客攻击损失了约 9.72 亿美元 ,创下了事件数量的历史新高。

此前,去中心化交易协议 Ostium 在发生影响其 OLP 流动性池的事件 后,停止了所有交易操作。网络安全专家估计,疑似漏洞利用可能导致了 1800 万至 2200 万美元的损失。

此材料可能包含第三方意见,根据我们的免责声明,本网页上的数据和信息均不构成投资建议。尽管我们坚持严格的编辑完整性,但此帖子可能包含对我们合作伙伴产品的引用。