Криптовалюты

SlowMist предупредила о macOS-вредоносе, который крадет сессии Telegram и данные криптокошельков

Вредоносное ПО для macOS может копировать локальные сессии Telegram Desktop, базы данных кошельков и данные браузерных расширений, а также подменять приложения Ledger и Trezor

Один основной источник · Как мы проверяем новости

SlowMist предупредила о macOS-вредоносе, который крадет сессии Telegram и данные криптокошельков
Иллюстрация к материалу RedBTC News

Что произошло

SlowMist сообщила о вредоносном ПО для macOS, которое крадет информацию и может захватывать сессии Telegram Desktop, а также компрометировать криптовалютные кошельки.

После сбора паролей и авторизованных сессий вредонос копирует локальные данные Telegram Desktop, базы данных кошельков и данные расширений кошельков в браузере.

Как устроена атака

По версии SlowMist, злоумышленники могут пытаться расшифровать украденные базы кошельков офлайн с помощью паролей, полученных с зараженного устройства. Еще один сценарий — подмена легитимных приложений Ledger и Trezor фальшивыми версиями, которые заставляют пользователей вводить recovery phrase.

Компания воспроизвела цепочку атаки в изолированной среде и заявила, что вредонос объединяет несколько техник, позволяя атакующим использовать разные способы компрометации криптовалютных аккаунтов и кошельков.

Какие кошельки и приложения затронуты

SlowMist указала, что вредонос нацелен на программные кошельки Exodus, Atomic, Electrum, Wasabi и Monero, а также на приложения аппаратных кошельков Ledger Live и Trezor Suite.

Кроме того, он ищет данные кошельков, которые хранятся в клиентах полных узлов, включая Bitcoin Core, Litecoin Core, Dash Core и Dogecoin Core.

Почему это важно

Двухэтапная проверка Telegram, по данным SlowMist, не предотвращает такую атаку: вредонос не создает новый вход, а повторно использует уже авторизованную локальную сессию.

В тестах исследователи восстановили украденные данные сессии Telegram Desktop на другом Mac без ввода номера телефона, кода подтверждения или пароля двухэтапной проверки.

Источники

Один основной источник. Как мы проверяем новости

  1. cointelegraph.com