Un malware de robo de información para macOS puede secuestrar las sesiones de Telegram Desktop y comprometer carteras de criptomonedas, según la firma de seguridad blockchain SlowMist.
El malware recopila datos del llavero de macOS, las cookies de Safari, Apple Notes, Telegram Desktop y bases de datos asociadas con más de una docena de carteras de criptomonedas.
Después de recopilar contraseñas y sesiones autenticadas, el malware copia los datos de la sesión autenticada de Telegram Desktop de los usuarios, las bases de datos de las carteras y los datos de la extensión del monedero del navegador.
SlowMist dijo que, después, los atacantes pueden intentar descifrar las bases de datos de carteras robadas sin conexión usando contraseñas obtenidas del dispositivo infectado o reemplazar las aplicaciones legítimas de Ledger y Trezor con versiones falsas que engañen a los usuarios para que introduzcan sus frases de recuperación. La firma de seguridad reprodujo la cadena de ataque en un entorno aislado.

Código de malware en macOS usado para robar claves y contraseñas. Fuente: SlowMist
El malware en macOS se dirige a carteras cripto populares
Según SlowMist, el malware combina varias técnicas en una cadena de ataque coordinada, lo que permite a los atacantes perseguir diferentes métodos para comprometer cuentas de criptomonedas y carteras.
El malware se dirige a carteras de software, incluidas Exodus, Atomic, Electrum, Wasabi y Monero, así como a aplicaciones de carteras de hardware como Ledger Live y Trezor Suite, según SlowMist. También busca datos de carteras almacenados por clientes de nodo completo, incluidos Bitcoin Core, Litecoin Core, Dash Core y Dogecoin Core.
La verificación en dos pasos de Telegram no evita el ataque porque el malware reutiliza una sesión local autenticada en lugar de crear un nuevo inicio de sesión, según SlowMist. En las pruebas, los investigadores restauraron datos de una sesión de Telegram Desktop robada en otro Mac sin ingresar un número de teléfono, código de verificación ni contraseña de verificación en dos pasos.
SlowMist instó a los usuarios que sospechen que sus dispositivos han sido comprometidos a terminar de inmediato las sesiones existentes de Telegram, establecer un nuevo inicio de sesión confiable y cambiar tanto su contraseña de verificación en dos pasos de Telegram como el código de acceso de Telegram Desktop. La compañía también recomendó generar una nueva frase de recuperación en un dispositivo limpio y transferir todos los activos a nuevas direcciones.
Revista: ¿El fracaso de Botanix prueba que los bitcoiners no se preocupan por DeFi?
