
SlowMist dévoile un infostealer macOS ciblant Telegram et…
La chaîne associe la prise de contrôle de session Telegram avec Keychain et la collecte de données de portefeuille, permettant le déchiffrement hors ligne ou des applications Ledger/Trezor fausses.
SlowMist a révélé un malware de vol d'informations pour macOS qui peut prendre le contrôle de Telegram Desktop en copiant et en réutilisant des données de session locale déjà authentifiées. La même campagne est conçue pour pivoter des identifiants volés vers le vol de multi-portefeuilles via des tentatives de décryptage hors ligne ou des applications Ledger et Trezor contrefaites.
Points clés
- Un infostealer macOS peut prendre le contrôle de Telegram Desktop en copiant des données de session locale authentifiées et en les restaurant sur un autre Mac.
- La vérification en deux étapes de Telegram ne bloque pas ce chemin de prise de contrôle spécifique lorsque un attaquant réutilise un artefact de session existant.
- Le malware récolte les secrets du trousseau macOS, les cookies Safari, les notes Apple, les données de Telegram Desktop et les bases de données de portefeuilles liées à plus d'une douzaine de portefeuilles.
- L'accès aux portefeuilles volés peut être monétisé soit par décryptage hors ligne en utilisant des mots de passe récoltés, soit en remplaçant par des applications Ledger Live et Trezor Suite contrefaites pour capturer des phrases de récupération.
SlowMist reproduit la réutilisation de session Telegram Desktop sur macOS
SlowMist a déclaré avoir reproduit une chaîne d'attaque dans un environnement isolé où un infostealer macOS prend le contrôle de Telegram Desktop sans effectuer de nouvelle connexion. Le mécanisme est la réutilisation de session : le malware copie les données de session locale de Telegram Desktop qui représentent déjà un état authentifié, puis cet état de session peut être restauré sur un autre Mac.
Lors des tests, les chercheurs ont restauré des données de session Telegram Desktop volées sur un autre Mac sans entrer de numéro de téléphone, de code de vérification ou de mot de passe de vérification en deux étapes.
Ce détail est important pour la sécurité opérationnelle car il cadre la vérification en deux étapes de Telegram comme une couche de renforcement de la connexion, et non comme une défense contre un point d'extrémité compromis où les artefacts de session peuvent être exfiltrés.
SlowMist a résumé la limitation directement : « La vérification en deux étapes de Telegram ne prévient pas l'attaque car le malware réutilise une session locale authentifiée au lieu de créer une nouvelle connexion. »
Comment l'Infostealer récolte les bases de données Keychain, Cookies, Notes et Wallet
La campagne n'est pas uniquement centrée sur Telegram. SlowMist a décrit un large balayage de données macOS qui extrait des données du Keychain macOS, des cookies Safari, des Notes Apple, de Telegram Desktop et des bases de données associées à plus d'une douzaine decryptocurrencywallets.
Après avoir collecté des mots de passe et des sessions authentifiées, le malware copie les données de session authentifiée de Telegram Desktop des utilisateurs, les bases de données de wallets et les données d'extension de wallet du navigateur. L'ensemble des cibles couvre plusieurs styles de garde, suggérant que l'opérateur optimise pour ce qui est présent sur le Mac d'une victime plutôt que de parier sur un type de wallet.
SlowMist a déclaré que le malware cible les wallets logiciels, y compris Exodus, Atomic, Electrum, Wasabi et Monero. Il s'attaque également aux applications compagnon dehardware wallet, nommant Ledger Live et Trezor Suite, et recherche des données de wallet stockées par des clients full-node, y comprisBitcoinCore,Litecoin Core, Dash Core et Dogecoin Core.
Deux chemins de vol : décryptage de portefeuille hors ligne vs applications Ledger/Trezor fausses
SlowMist a décrit deux chemins de monétisation distincts une fois que les données sont récoltées.
Le premier est le compromis direct du fichier de portefeuille. Les attaquants peuvent tenter de déchiffrer les bases de données de portefeuille volées hors ligne en utilisant des mots de passe récoltés à partir de l'appareil infecté. Cela transforme un compromis ponctuel de point d'extrémité en une tentative de craquage de plus longue durée qui ne nécessite plus d'accès à la machine de la victime.
Le second est la capture de phrase de récupération par le remplacement d'application. SlowMist a déclaré que les attaquants peuvent remplacer les applications Ledger et Trezor légitimes par de fausses versions qui trompent les utilisateurs en les incitant à entrer leurs phrases de récupération.
Une phrase de graine est un contrôle total, donc ce chemin est conçu pour contourner les protections que les utilisateurs attendent des portefeuilles matériels en ciblant le logiciel compagnon et le comportement de l'utilisateur.
Ce qui confirmerait un risque plus large : IOCs, vecteur d'infection et abus ultérieur sur Telegram
L'extrait n'incluait pas de nom de famille de malware, d'attribution d'opérateur, d'indicateurs de compromission tels que des hachages, des domaines ou des chemins de fichiers, ni de comptes de victimes. Ces lacunes font la différence entre un compte rendu de technique contenue et une campagne que les traders peuvent activement chasser à travers des flottes.
Les prochains signaux de confirmation sont simples. Premièrement, que SlowMist ou d'autres chercheurs publient des IOCs ou un label de famille qui permet aux défenseurs de regrouper les cas. Deuxièmement, la divulgation du vecteur de distribution, y compris si l'infection initiale provient d'applications trojanisées, de phishing ou de malvertising, et si elle est ciblée sur des cercles Telegram fortement axés sur la crypto.
Troisièmement, tout rapport d'incident ultérieur qui cite explicitement les sessions Telegram Desktop restaurées comme méthode d'accès, plutôt que de nouvelles connexions. Quatrièmement, les mises à jour de Telegram Desktop, Ledger Live ou Trezor Suite quiadressentla réutilisation des artefacts de session ou le modèle de remplacement d'application.
Pourquoi le contrôle de session Telegram est un multiplicateur de risque pour le flux de travail de trading
Je considère cela comme un risque de flux de travail, pas seulement une note de bas de page sur la sécurité des comptes. Telegram Desktop est l'endroit où se déroulent le flux des affaires, les présentations OTC et les messages opérationnels de "confirmation rapide", et le contrôle de session donne à un attaquant une voix crédible à l'intérieur de ce canal.
Le seuil qui compte est de savoir si cela évolue d'une chaîne reproduite unique en une famille nommée avec des IOCs et un chemin de distribution connu. Si cela se maintient, la configuration commence à sembler structurelle plutôt que guidée par le récit, car la réutilisation de session Telegram plus la collecte multi-portefeuilles créent plusieurs moyens indépendants d'accéder aux fonds, même après qu'un utilisateur ait changé de mots de passe.