Malware para macOS sequestra sessões do Telegram e mira carteiras cripto

BTC-1,73%
LTC0,33%
DASH0,05%
DOGE-1,99%

A empresa de segurança blockchain SlowMist descobriu um malware para macOS que rouba informações e sequestra sessões do Telegram Desktop, comprometendo carteiras de criptomoeda. O malware coleta dados do macOS Keychain, cookies do Safari, Apple Notes, Telegram Desktop e bancos de dados associados a mais de uma dúzia de carteiras de criptomoeda, permitindo que os atacantes descriptografem offline os bancos de dados roubados ou substituam aplicativos legítimos de carteira de hardware por versões falsas. A SlowMist reproduziu a cadeia de ataque em um ambiente isolado e confirmou que a verificação em duas etapas do Telegram não impede o ataque porque o malware reutiliza uma sessão local autenticada em vez de criar um novo login.

SlowMist Identifica Métodos de Coleta de Dados por Malware no macOS

Depois de coletar senhas e sessões autenticadas, o malware copia os dados da sessão autenticada do Telegram Desktop dos usuários, os bancos de dados das carteiras e os dados de extensões de carteiras do navegador. A SlowMist disse que os atacantes então podem tentar descriptografar offline os bancos de dados roubados usando senhas obtidas do dispositivo infectado ou substituir aplicativos legítimos da Ledger e da Trezor por versões falsas que induzem os usuários a inserir suas frases de recuperação. O malware combina múltiplas técnicas em uma cadeia de ataque coordenada, permitindo que os atacantes busquem diferentes métodos para comprometer contas e carteiras de criptomoeda.

Malware Mira Carteiras Cripto de Software e Hardware

De acordo com a SlowMist, o malware mira carteiras de software, incluindo Exodus, Atomic, Electrum, Wasabi e Monero, além de aplicações de carteira de hardware como Ledger Live e Trezor Suite. Ele também procura dados de carteiras armazenados por clientes full-node, incluindo Bitcoin Core, Litecoin Core, Dash Core e Dogecoin Core.

A Verificação em Duas Etapas do Telegram Não Impede o Sequestro de Sessões

A verificação em duas etapas do Telegram não impede o ataque porque o malware reutiliza uma sessão local autenticada em vez de criar um novo login, de acordo com a SlowMist. Em testes, os pesquisadores restauraram dados de sessão do Telegram Desktop roubados em outro Mac sem inserir número de telefone, código de verificação ou senha de verificação em duas etapas.

SlowMist Recomenda Medidas Imediatas de Segurança para Dispositivos Comprometidos

A SlowMist pediu que usuários que suspeitam que seus dispositivos foram comprometidos encerrem imediatamente as sessões do Telegram existentes, estabeleçam um novo login confiável e alterem tanto a senha da verificação em duas etapas do Telegram quanto o código do Telegram Desktop. A empresa também recomendou gerar uma nova frase de recuperação em um dispositivo limpo e transferir todos os ativos para novos endereços.

FAQ

Quais tipos de dados o malware no macOS rouba, segundo a SlowMist?

O malware coleta dados do macOS Keychain, cookies do Safari, Apple Notes, Telegram Desktop e bancos de dados associados a mais de uma dúzia de carteiras de criptomoeda, incluindo dados de sessão autenticada do Telegram Desktop, bancos de dados de carteiras e dados de extensões de carteiras do navegador.

Por que a verificação em duas etapas do Telegram não impede esse ataque por malware?

A verificação em duas etapas do Telegram não impede o ataque porque o malware reutiliza uma sessão local autenticada em vez de criar um novo login. Pesquisadores da SlowMist restauraram dados de sessão do Telegram Desktop roubados em outro Mac sem inserir número de telefone, código de verificação ou senha de verificação em duas etapas.

Quais medidas de segurança a SlowMist recomenda para usuários que suspeitam de comprometimento do dispositivo?

A SlowMist pediu que os usuários encerrem imediatamente as sessões do Telegram existentes, estabeleçam um novo login confiável, alterem tanto a senha da verificação em duas etapas do Telegram quanto o código do Telegram Desktop, gerem uma nova frase de recuperação em um dispositivo limpo e transfiram todos os ativos para novos endereços.

Isenção de responsabilidade: as informações nesta página podem ter origem em fontes terceiras e servem apenas como referência. Não representam as opiniões da Gate e não constituem orientação financeira, de investimentos ou jurídica. A negociação de ativos virtuais envolve alto risco. Não tome decisões baseando-se apenas nas informações desta página. Para mais detalhes, consulte a Isenção de responsabilidade.
Comentário
0/400
Sem comentários