SlowMist предупредила о macOS-вредоносе, который крадет сессии Telegram и данные криптокошельков
Вредоносное ПО для macOS может копировать локальные сессии Telegram Desktop, базы данных кошельков и данные браузерных расширений, а также подменять приложения Ledger и Trezor
Один основной источник · Как мы проверяем новости

Что произошло
SlowMist сообщила о вредоносном ПО для macOS, которое крадет информацию и может захватывать сессии Telegram Desktop, а также компрометировать криптовалютные кошельки.
После сбора паролей и авторизованных сессий вредонос копирует локальные данные Telegram Desktop, базы данных кошельков и данные расширений кошельков в браузере.
Как устроена атака
По версии SlowMist, злоумышленники могут пытаться расшифровать украденные базы кошельков офлайн с помощью паролей, полученных с зараженного устройства. Еще один сценарий — подмена легитимных приложений Ledger и Trezor фальшивыми версиями, которые заставляют пользователей вводить recovery phrase.
Компания воспроизвела цепочку атаки в изолированной среде и заявила, что вредонос объединяет несколько техник, позволяя атакующим использовать разные способы компрометации криптовалютных аккаунтов и кошельков.
Какие кошельки и приложения затронуты
SlowMist указала, что вредонос нацелен на программные кошельки Exodus, Atomic, Electrum, Wasabi и Monero, а также на приложения аппаратных кошельков Ledger Live и Trezor Suite.
Кроме того, он ищет данные кошельков, которые хранятся в клиентах полных узлов, включая Bitcoin Core, Litecoin Core, Dash Core и Dogecoin Core.
Почему это важно
Двухэтапная проверка Telegram, по данным SlowMist, не предотвращает такую атаку: вредонос не создает новый вход, а повторно использует уже авторизованную локальную сессию.
В тестах исследователи восстановили украденные данные сессии Telegram Desktop на другом Mac без ввода номера телефона, кода подтверждения или пароля двухэтапной проверки.
Источники
Один основной источник. Как мы проверяем новости


