A gloved hand reaches for two black devices on a
Cripto

SlowMist revela infostealer para macOS que ataca wallets…

A cadeia combina a tomada de sessão do Telegram com Keychain e a coleta de dados da carteira, permitindo a descriptografia offline ou aplicativos falsos do Ledger/Trezor.

Por AI News Crypto Editorial Team4 min de leitura

A SlowMist divulgou um malware para macOS que rouba informações e pode sequestrar o Telegram Desktop copiando e reutilizando dados de sessão local já autenticados. A mesma campanha é projetada para pivotar de credenciais roubadas para roubo de multi-wallet através de tentativas de descriptografia offline ou aplicativos falsos da Ledger e Trezor.

Principais Conclusões

  • Um infostealer para macOS pode assumir o Telegram Desktop copiando dados de sessão local autenticados e restaurando-os em outro Mac.
  • A verificação em duas etapas do Telegram não impede esse caminho específico de sequestro quando um atacante reutiliza um artefato de sessão existente.
  • O malware coleta segredos do Keychain do macOS, cookies do Safari, Notas da Apple, dados do Telegram Desktop e bancos de dados de carteiras vinculados a mais de uma dúzia de carteiras.
  • O acesso à carteira roubada pode ser monetizado tanto por descriptografia offline usando senhas coletadas quanto pela troca por aplicativos falsos Ledger Live e Trezor Suite para capturar frases de recuperação.

A SlowMist Reproduz a Reutilização de Sessão do Telegram Desktop no macOS

A SlowMist disse que reproduziu uma cadeia de ataque em um ambiente isolado onde um infostealer para macOS sequestra o Telegram Desktop sem realizar um novo login. O mecanismo é a reutilização de sessão: o malware copia dados de sessão local do Telegram Desktop que já representam um estado autenticado, então esse estado de sessão pode ser restaurado em outro Mac.

Em testes, os pesquisadores restauraram dados de sessão roubados do Telegram Desktop em outro Mac sem inserir um número de telefone, código de verificação ou senha de verificação em duas etapas.

Esse detalhe é importante para a segurança operacional porque enquadra a verificação em duas etapas do Telegram como uma camada de fortalecimento de login, não como uma defesa contra um ponto final comprometido onde artefatos de sessão podem ser exfiltrados.

A SlowMist resumiu a limitação diretamente: “A verificação em duas etapas do Telegram não impede o ataque porque o malware reutiliza uma sessão local autenticada em vez de criar um novo login.”

Como o Infostealer Coleta Dados do Keychain, Cookies, Notas e Bancos de Dados de Carteiras

A campanha não é construída de forma restrita em torno do Telegram. A SlowMist descreveu uma varredura ampla de dados do macOS que extrai do Keychain do macOS, cookies do Safari, Notas da Apple, Telegram Desktop e bancos de dados associados a mais de uma dúzia decarteirasde criptomoeda.

Após coletar senhas e sessões autenticadas, o malware copia os dados da sessão autenticada do Telegram Desktop dos usuários, bancos de dados de carteiras e dados de extensões de carteiras do navegador. O conjunto de alvos abrange múltiplos estilos de custódia, sugerindo que o operador está otimizando para o que quer que esteja presente no Mac de uma vítima, em vez de apostar em um tipo de carteira.

A SlowMist disse que o malware tem como alvo carteiras de software, incluindo Exodus, Atomic, Electrum, Wasabi e Monero. Ele também atacaaplicativos de carteirade hardware, nomeando Ledger Live e Trezor Suite, e procura por dados de carteiras armazenados por clientes de nó completo, incluindoBitcoinCore,LitecoinCore, Dash Core e Dogecoin Core.

Dois Caminhos de Roubo: Descriptografia de Carteira Offline vs Aplicativos Falsos Ledger/Trezor

A SlowMist delineou dois caminhos distintos de monetização uma vez que os dados são coletados.

O primeiro é a comprometimento direto do arquivo da carteira. Os atacantes podem tentar descriptografar bancos de dados de carteiras roubadas offline usando senhas coletadas do dispositivo infectado. Isso transforma um comprometimento de ponto único em uma tentativa de quebra de longa duração que não requer mais acesso à máquina da vítima.

O segundo é a captura de frases de recuperação através da substituição de aplicativos. A SlowMist disse que os atacantes podem substituir aplicativos legítimos da Ledger e Trezor por versões falsas que enganam os usuários a inserir suas frases de recuperação.

Umafrase-sementeé controle total, então esse caminho é projetado para contornar as proteções que os usuários esperam de carteiras de hardware, visando o software acompanhante e o comportamento do usuário.

O que Confirmaria um Risco Mais Amplo: IOCs, Vetor de Infecção e Abuso Posterior no Telegram

O trecho não incluiu um nome de família de malware, atribuição de operador, indicadores de comprometimento como hashes, domínios ou caminhos de arquivo, ou quaisquer contagens de vítimas. Essas lacunas são a diferença entre uma descrição técnica contida e uma campanha que os traders podem ativamente caçar em frotas.

Os próximos sinais de confirmação são diretos. Primeiro, se a SlowMist ou outros pesquisadores publicarem IOCs ou um rótulo de família que permita aos defensores agrupar casos. Segundo, a divulgação do vetor de distribuição, incluindo se a infecção inicial está vindo de aplicativos trojanizados, phishing ou malvertising, e se está sendo direcionada a círculos pesados de criptomoedas no Telegram.

Terceiro, quaisquer relatórios de incidentes subsequentes que citem explicitamente sessões restauradas do Telegram Desktop como o método de acesso, em vez de novos logins. Quarto, atualizações do Telegram Desktop, Ledger Live ou Trezor Suite queabordema reutilização de artefatos de sessão ou o padrão de substituição de aplicativos.

Por que o Controle de Sessão do Telegram é um Multiplicador de Risco no Fluxo de Trabalho de Negociação

Eu trato isso como um risco de fluxo de trabalho, não apenas uma nota de rodapé de segurança da conta. O Telegram Desktop é onde ocorrem o fluxo de negócios, introduções OTC e mensagens operacionais de 'confirmação rápida', e o controle de sessão dá a um atacante uma voz credível dentro desse canal.

O limiar que importa é se isso evolui de uma única cadeia reproduzida para uma família nomeada com IOCs e um caminho de distribuição conhecido. Se isso se mantiver, a configuração começa a parecer estrutural em vez de impulsionada por narrativas, porque a reutilização de sessões do Telegram mais a coleta de múltiplas carteiras cria várias maneiras independentes de acessar fundos, mesmo após um usuário rotacionar senhas.

Fontes