La firma de ciberseguridad SlowMist descubrió un malware para macOS que roba información y secuestra sesiones de Telegram Desktop, comprometiendo billeteras de criptomonedas. El malware recopila datos del llavero de macOS (Keychain), cookies de Safari, Notas de Apple, Telegram Desktop y bases de datos vinculadas con más de una docena de billeteras de criptomonedas. Esto permite a los atacantes descifrar en offline las bases de datos de billeteras robadas o reemplazar aplicaciones legítimas de billeteras de hardware por versiones falsas. SlowMist reprodujo la cadena de ataque en un entorno aislado y confirmó que la verificación en dos pasos de Telegram no impide el ataque, porque el malware reutiliza una sesión local autenticada en lugar de crear un nuevo inicio de sesión.
Tras recopilar contraseñas y sesiones autenticadas, el malware copia los datos de la sesión autenticada de Telegram Desktop, las bases de datos de las billeteras y los datos de la extensión de billetera del navegador. SlowMist indicó que, entonces, los atacantes pueden intentar descifrar en offline las bases de datos de las billeteras robadas usando contraseñas extraídas del dispositivo infectado, o reemplazar aplicaciones legítimas de Ledger y Trezor por versiones falsas que engañan a los usuarios para que introduzcan sus frases de recuperación. El malware combina múltiples técnicas en una cadena de ataque coordinada, lo que permite a los atacantes perseguir distintos métodos para comprometer cuentas y billeteras de criptomonedas.
Según SlowMist, el malware se dirige a billeteras de software, incluidas Exodus, Atomic, Electrum, Wasabi y Monero, así como a aplicaciones de billeteras de hardware como Ledger Live y Trezor Suite. También busca datos de billeteras almacenados por clientes de nodo completo, incluidos Bitcoin Core, Litecoin Core, Dash Core y Dogecoin Core.
La verificación en dos pasos de Telegram no evita el ataque porque el malware reutiliza una sesión local autenticada en lugar de crear un nuevo inicio de sesión, según SlowMist. En las pruebas, los investigadores restauraron los datos de la sesión robada de Telegram Desktop en otro Mac sin introducir un número de teléfono, un código de verificación ni una contraseña de verificación en dos pasos.
SlowMist instó a los usuarios que sospechen que sus dispositivos han sido comprometidos a terminar de inmediato las sesiones existentes de Telegram, establecer un nuevo inicio de sesión de confianza y cambiar tanto su contraseña de verificación en dos pasos de Telegram como el código de acceso de Telegram Desktop. La empresa también recomendó generar una nueva frase de recuperación en un dispositivo limpio y transferir todos los activos a nuevas direcciones.
¿Qué tipos de datos roba el malware de macOS según SlowMist?
El malware recopila datos del llavero de macOS (Keychain), cookies de Safari, Notas de Apple, Telegram Desktop y bases de datos asociadas con más de una docena de billeteras de criptomonedas, incluidos datos de sesión autenticada de Telegram Desktop, bases de datos de billeteras y datos de la extensión de billetera del navegador.
¿Por qué la verificación en dos pasos de Telegram no impide este ataque de malware?
La verificación en dos pasos de Telegram no evita el ataque porque el malware reutiliza una sesión local autenticada en lugar de crear un nuevo inicio de sesión. Los investigadores de SlowMist restauraron los datos de la sesión robada de Telegram Desktop en otro Mac sin introducir un número de teléfono, un código de verificación ni una contraseña de verificación en dos pasos.
¿Qué medidas de seguridad recomienda SlowMist para usuarios que sospechan una posible intrusión del dispositivo?
SlowMist instó a los usuarios a terminar de inmediato las sesiones existentes de Telegram, establecer un nuevo inicio de sesión de confianza, cambiar tanto su contraseña de verificación en dos pasos de Telegram como el código de acceso de Telegram Desktop, generar una nueva frase de recuperación en un dispositivo limpio y transferir todos los activos a nuevas direcciones.
Noticias relacionadas
Stefan Thomas tiene 2 intentos restantes para desbloquear 7,002 bitcoins en una unidad IronKey
Enso identifica pools tóxicos que manipulan la ejecución del comercio en DeFi
Un hombre de Florida arrestado por robar cripto $220K mediante malware de videojuegos