
SlowMist revela infostealer en macOS que usa sesiones de…
La cadena empareja la toma de control de sesiones de Telegram con Keychain y la recolección de datos de billetera, permitiendo la descifrado offline o aplicaciones falsas de Ledger/Trezor.
SlowMist divulgó un malware de robo de información para macOS que puede secuestrar Telegram Desktop al copiar y reutilizar datos de sesión local ya autenticados. La misma campaña está diseñada para pivotar desde credenciales robadas hacia el robo de múltiples billeteras a través de intentos de descifrado offline o aplicaciones falsas de Ledger y Trezor.
Puntos Clave
- Un infostealer de macOS puede tomar el control de Telegram Desktop al copiar datos de sesión local autenticados y restaurarlos en otro Mac.
- La verificación en dos pasos de Telegram no detiene este camino específico de toma de control cuando un atacante reutiliza un artefacto de sesión existente.
- El malware recopila secretos del llavero de macOS, cookies de Safari, notas de Apple, datos de Telegram Desktop y bases de datos de billeteras vinculadas a más de una docena de billeteras.
- El acceso a billeteras robadas puede monetizarse ya sea mediante descifrado offline utilizando contraseñas recopiladas o intercambiando aplicaciones falsas de Ledger Live y Trezor Suite para capturar frases de recuperación.
SlowMist Reproduce la Reutilización de Sesiones de Telegram Desktop en macOS
SlowMist dijo que reprodujo una cadena de ataque en un entorno aislado donde un infostealer de macOS secuestra Telegram Desktop sin realizar un nuevo inicio de sesión. El mecanismo es la reutilización de sesiones: el malware copia datos de sesión local de Telegram Desktop que ya representan un estado autenticado, luego ese estado de sesión puede ser restaurado en otro Mac.
En pruebas, los investigadores restauraron datos de sesión robados de Telegram Desktop en otro Mac sin ingresar un número de teléfono, código de verificación o contraseña de verificación en dos pasos.
Ese detalle es importante para la seguridad operativa porque enmarca la verificación en dos pasos de Telegram como una capa de endurecimiento de inicio de sesión, no como una defensa contra un punto final comprometido donde los artefactos de sesión pueden ser exfiltrados.
SlowMist resumió la limitación directamente: “La verificación en dos pasos de Telegram no previene el ataque porque el malware reutiliza una sesión local autenticada en lugar de crear un nuevo inicio de sesión.”
Cómo el Infostealer cosecha bases de datos de llaveros, cookies, notas y billeteras
La campaña no está construida de manera estrecha alrededor de Telegram. SlowMist describió una amplia recopilación de datos de macOS que extrae del llavero de macOS, cookies de Safari, Notas de Apple, Telegram Desktop y bases de datos asociadas con más de una docena debilleterasde criptomonedas.
Después de recopilar contraseñas y sesiones autenticadas, el malware copia los datos de sesión autenticada de Telegram Desktop de los usuarios, bases de datos de billeteras y datos de extensiones de billetera del navegador. El conjunto de objetivos abarca múltiples estilos de custodia, lo que sugiere que el operador está optimizando para lo que esté presente en el Mac de una víctima en lugar de apostar por un tipo de billetera.
SlowMist dijo que el malware apunta a billeteras de software incluyendo Exodus, Atomic, Electrum, Wasabi y Monero. También ataca a lasaplicaciones compañeras de billeteras de hardware, nombrando Ledger Live y Trezor Suite, y busca datos de billetera almacenados por clientes de nodo completo incluyendoBitcoinCore,Litecoin Core, Dash Core y Dogecoin Core.
Dos caminos de robo: desencriptación de billetera offline vs aplicaciones falsas de Ledger/Trezor
SlowMist delineó dos caminos de monetización distintos una vez que se cosechan los datos.
El primero es el compromiso directo del archivo de la billetera. Los atacantes pueden intentar desencriptar bases de datos de billeteras robadas offline utilizando contraseñas cosechadas del dispositivo infectado. Eso convierte un compromiso de punto final único en un intento de cracking de mayor duración que ya no requiere acceso a la máquina de la víctima.
El segundo es la captura de frases de recuperación a través de reemplazo de aplicaciones. SlowMist dijo que los atacantes pueden reemplazar aplicaciones legítimas de Ledger y Trezor con versiones falsas que engañan a los usuarios para que ingresen sus frases de recuperación.
Una frase semilla es control total, por lo que este camino está diseñado para eludir las protecciones que los usuarios esperan de las billeteras hardware al apuntar al software complementario y al comportamiento del usuario.
Lo que confirmaría un riesgo más amplio: IOCs, vector de infección y abuso posterior en Telegram
El extracto no incluyó un nombre de familia de malware, atribución de operadores, indicadores de compromiso como hashes, dominios o rutas de archivos, o cuentas de víctimas. Esos vacíos son la diferencia entre un informe de técnica contenida y una campaña que los comerciantes pueden cazar activamente a través de flotas.
Las próximas señales de confirmación son sencillas. Primero, si SlowMist u otros investigadores publican IOCs o una etiqueta de familia que permita a los defensores agrupar casos. Segundo, la divulgación del vector de distribución, incluyendo si la infección inicial proviene de aplicaciones trojanizadas, phishing o malvertising, y si está dirigida a círculos de Telegram con enfoque en criptomonedas.
Tercero, cualquier informe de incidente posterior que cite explícitamente sesiones restauradas de Telegram Desktop como el método de acceso, en lugar de nuevos inicios de sesión. Cuarto, actualizaciones de Telegram Desktop, Ledger Live o Trezor Suite queabordenla reutilización de artefactos de sesión o el patrón de reemplazo de aplicaciones.
Por qué el Control de Sesiones de Telegram es un Multiplicador de Riesgo en el Flujo de Trabajo de Trading
Trato esto como un riesgo de flujo de trabajo, no solo como una nota al pie de seguridad de la cuenta. Telegram Desktop es donde ocurren el flujo de negocios, las presentaciones OTC y los mensajes operativos de 'confirmación rápida', y el control de sesiones le da a un atacante una voz creíble dentro de ese canal.
El umbral que importa es si esto evoluciona de una cadena reproducida única a una familia nombrada con IOCs y un camino de distribución conocido.
Si eso se sostiene, la configuración comienza a parecer estructural en lugar de impulsada por la narrativa porque la reutilización de sesiones de Telegram más la recolección de múltiples billeteras crea múltiples formas independientes de acceder a los fondos, incluso después de que un usuario rota contraseñas.