Исследователи блокчейн-безопасности из SlowMist выявили новое вредоносное ПО, нацеленное на пользователей macOS. Вредонос способен перехватывать активные сессии Telegram Desktop и похищать данные, связанные с криптовалютными кошельками, включая Exodus, Atomic, Electrum, Wasabi, Monero, а также приложения аппаратных кошельков Ledger Live и Trezor Suite.
Атака не требует взлома кодов подтверждения. Вредонос копирует уже аутентифицированные локальные файлы сессии Telegram, что позволяет злоумышленнику восстановить доступ к аккаунту на другом устройстве без ввода номера телефона, проверочного кода или пароля двухфакторной аутентификации. Как подчеркнули в SlowMist, двухфакторная аутентификация Telegram не предотвращает эту атаку, поскольку вредонос оперирует существующими доверенными сессиями.
Помимо Telegram, вредонос собирает данные из связки ключей macOS, Safari, заметок Apple, а также базы данных кошельков. Исследователи воспроизвели цепочку атаки в тестовой среде и подтвердили, что украденные файлы сессии позволяют получить доступ к аккаунту без стандартных шагов входа. Кроме того, злоумышленники могут подменять легальные приложения Ledger Live и Trezor Suite поддельными, вынуждая жертв вводить сид-фразы.
Под удар попадают не только горячие кошельки, но и данные полных узлов — вредонос ищет файлы Bitcoin Core, Litecoin Core, Dash Core и Dogecoin Core. После сбора баз данных пароли, извлечённые с заражённого устройства, используются для офлайн-расшифровки. Таким образом, под угрозой оказываются средства в Bitcoin (BTC), Litecoin (LTC), Dash (DASH), Dogecoin (DOGE) и Monero (XMR).
SlowMist рекомендует пострадавшим немедленно завершить все подозрительные сессии Telegram в настройках, изменить пароль двухфакторной аутентификации и код доступа Telegram Desktop, а также создать новую учётную запись на чистом устройстве. Криптоактивы следует как можно скорее перевести на новые адреса, сгенерировав новые сид-фразы на незаражённом оборудовании. Эксперты также советуют избегать пиратских приложений, фальшивых обновлений и непроверенных установщиков, загружать программы только с официальных сайтов и не вводить неизвестные команды в терминал.