Malware para macOS sequestra sessões do Telegram e tem como alvo carteiras de criptomoedas

BTC-1,71%
LTC-0,17%
DASH-0,05%
DOGE-1,95%

A empresa de segurança blockchain SlowMist descobriu um malware para macOS que rouba informação, sequestra sessões do Telegram Desktop e compromete carteiras de criptomoeda. O malware recolhe dados do macOS Keychain, cookies do Safari, Apple Notes, Telegram Desktop e bases de dados associadas a mais de uma dúzia de carteiras de criptomoeda, permitindo aos atacantes descriptografar offline as bases de dados das carteiras roubadas ou substituir aplicações legítimas de carteira de hardware por versões falsas. A SlowMist reproduziu a cadeia de ataque num ambiente isolado e confirmou que a verificação em duas etapas do Telegram não impede o ataque, porque o malware reutiliza uma sessão local autenticada em vez de criar um novo login.

SlowMist Identifica Métodos de Recolha de Dados de Malware no macOS

Depois de recolher palavras-passe e sessões autenticadas, o malware copia os dados da sessão autenticada do Telegram Desktop, as bases de dados das carteiras e os dados de extensões de wallets no browser. A SlowMist disse que os atacantes podem, então, tentar descodificar offline as bases de dados das carteiras roubadas usando palavras-passe recolhidas do dispositivo infetado ou substituir aplicações legítimas Ledger e Trezor por versões falsas que induzem os utilizadores a introduzir as suas frases de recuperação. O malware combina várias técnicas numa cadeia de ataque coordenada, permitindo aos atacantes seguir diferentes métodos para comprometer contas e carteiras de criptomoeda.

Malware Aponta a Carteiras Cripto em Software e em Hardware

Segundo a SlowMist, o malware tem como alvo carteiras em software, incluindo Exodus, Atomic, Electrum, Wasabi e Monero, bem como aplicações de carteiras em hardware como Ledger Live e Trezor Suite. Também procura dados de carteiras guardados por clientes full-node, incluindo Bitcoin Core, Litecoin Core, Dash Core e Dogecoin Core.

A Verificação em Duas Etapas do Telegram Falha ao Impedir o Sequestro de Sessão

A verificação em duas etapas do Telegram não impede o ataque porque o malware reutiliza uma sessão local autenticada em vez de criar um novo login, de acordo com a SlowMist. Nos testes, os investigadores restauraram dados de sessões do Telegram Desktop roubadas noutro Mac sem introduzir um número de telefone, código de verificação ou palavra-passe de verificação em duas etapas.

A SlowMist Recomenda Medidas de Segurança Imediatas para Dispositivos Comprometidos

A SlowMist instou os utilizadores que suspeitem que os seus dispositivos foram comprometidos a terminar imediatamente as sessões atuais do Telegram, a estabelecer um novo login confiável e a alterar tanto a palavra-passe da verificação em duas etapas do Telegram como o código de acesso do Telegram Desktop. A empresa também recomendou gerar uma nova frase de recuperação num dispositivo limpo e transferir todos os ativos para novos endereços.

FAQ

Que tipos de dados é que o malware para macOS rouba, segundo a SlowMist?

O malware recolhe dados do macOS Keychain, cookies do Safari, Apple Notes, Telegram Desktop e bases de dados associadas a mais de uma dúzia de carteiras de criptomoeda, incluindo dados de sessão autenticada do Telegram Desktop, bases de dados de carteiras e dados de extensões de wallet no browser.

Porque é que a verificação em duas etapas do Telegram não impede este ataque de malware?

A verificação em duas etapas do Telegram não impede o ataque porque o malware reutiliza uma sessão local autenticada em vez de criar um novo login. Os investigadores da SlowMist restauraram dados de sessões do Telegram Desktop roubadas noutro Mac sem introduzir um número de telefone, código de verificação ou palavra-passe da verificação em duas etapas.

Que medidas de segurança é que a SlowMist recomenda para utilizadores que suspeitam de comprometimento do dispositivo?

A SlowMist instou os utilizadores a terminar imediatamente as sessões atuais do Telegram, a estabelecer um novo login confiável, a alterar tanto a palavra-passe da verificação em duas etapas do Telegram como o código de acesso do Telegram Desktop, a gerar uma nova frase de recuperação num dispositivo limpo e a transferir todos os ativos para novos endereços.

Aviso legal: As informações contidas nesta página podem provir de fontes externas e têm caráter meramente informativo. Não refletem os pontos de vista nem as opiniões da Gate e não constituem qualquer tipo de aconselhamento financeiro, de investimento ou jurídico. A negociação de ativos virtuais envolve um risco elevado. Não se baseie exclusivamente nas informações contidas nesta página ao tomar decisões. Para mais detalhes, consulte o Aviso legal.
Comentar
0/400
Nenhum comentário