El malware para macOS secuestra sesiones de Telegram y ataca carteras de criptomonedas

BTC-1,71%
LTC-0,17%
DASH-0,05%
DOGE-1,95%

La firma de ciberseguridad SlowMist descubrió un malware para macOS que roba información y secuestra sesiones de Telegram Desktop, comprometiendo billeteras de criptomonedas. El malware recopila datos del llavero de macOS (Keychain), cookies de Safari, Notas de Apple, Telegram Desktop y bases de datos vinculadas con más de una docena de billeteras de criptomonedas. Esto permite a los atacantes descifrar en offline las bases de datos de billeteras robadas o reemplazar aplicaciones legítimas de billeteras de hardware por versiones falsas. SlowMist reprodujo la cadena de ataque en un entorno aislado y confirmó que la verificación en dos pasos de Telegram no impide el ataque, porque el malware reutiliza una sesión local autenticada en lugar de crear un nuevo inicio de sesión.

SlowMist identifica métodos de recolección de datos del malware de macOS

Tras recopilar contraseñas y sesiones autenticadas, el malware copia los datos de la sesión autenticada de Telegram Desktop, las bases de datos de las billeteras y los datos de la extensión de billetera del navegador. SlowMist indicó que, entonces, los atacantes pueden intentar descifrar en offline las bases de datos de las billeteras robadas usando contraseñas extraídas del dispositivo infectado, o reemplazar aplicaciones legítimas de Ledger y Trezor por versiones falsas que engañan a los usuarios para que introduzcan sus frases de recuperación. El malware combina múltiples técnicas en una cadena de ataque coordinada, lo que permite a los atacantes perseguir distintos métodos para comprometer cuentas y billeteras de criptomonedas.

El malware ataca billeteras cripto de software y de hardware

Según SlowMist, el malware se dirige a billeteras de software, incluidas Exodus, Atomic, Electrum, Wasabi y Monero, así como a aplicaciones de billeteras de hardware como Ledger Live y Trezor Suite. También busca datos de billeteras almacenados por clientes de nodo completo, incluidos Bitcoin Core, Litecoin Core, Dash Core y Dogecoin Core.

La verificación en dos pasos de Telegram no previene el secuestro de sesiones

La verificación en dos pasos de Telegram no evita el ataque porque el malware reutiliza una sesión local autenticada en lugar de crear un nuevo inicio de sesión, según SlowMist. En las pruebas, los investigadores restauraron los datos de la sesión robada de Telegram Desktop en otro Mac sin introducir un número de teléfono, un código de verificación ni una contraseña de verificación en dos pasos.

SlowMist recomienda medidas de seguridad inmediatas para dispositivos comprometidos

SlowMist instó a los usuarios que sospechen que sus dispositivos han sido comprometidos a terminar de inmediato las sesiones existentes de Telegram, establecer un nuevo inicio de sesión de confianza y cambiar tanto su contraseña de verificación en dos pasos de Telegram como el código de acceso de Telegram Desktop. La empresa también recomendó generar una nueva frase de recuperación en un dispositivo limpio y transferir todos los activos a nuevas direcciones.

FAQ

¿Qué tipos de datos roba el malware de macOS según SlowMist?

El malware recopila datos del llavero de macOS (Keychain), cookies de Safari, Notas de Apple, Telegram Desktop y bases de datos asociadas con más de una docena de billeteras de criptomonedas, incluidos datos de sesión autenticada de Telegram Desktop, bases de datos de billeteras y datos de la extensión de billetera del navegador.

¿Por qué la verificación en dos pasos de Telegram no impide este ataque de malware?

La verificación en dos pasos de Telegram no evita el ataque porque el malware reutiliza una sesión local autenticada en lugar de crear un nuevo inicio de sesión. Los investigadores de SlowMist restauraron los datos de la sesión robada de Telegram Desktop en otro Mac sin introducir un número de teléfono, un código de verificación ni una contraseña de verificación en dos pasos.

¿Qué medidas de seguridad recomienda SlowMist para usuarios que sospechan una posible intrusión del dispositivo?

SlowMist instó a los usuarios a terminar de inmediato las sesiones existentes de Telegram, establecer un nuevo inicio de sesión de confianza, cambiar tanto su contraseña de verificación en dos pasos de Telegram como el código de acceso de Telegram Desktop, generar una nueva frase de recuperación en un dispositivo limpio y transferir todos los activos a nuevas direcciones.

Aviso legal: La información en esta página puede provenir de fuentes de terceros y es solo para referencia. No representa las opiniones ni puntos de vista de Gate y no constituye asesoramiento financiero, de inversión ni legal. El comercio de activos virtuales implica un alto riesgo. No te bases únicamente en la información presentada en esta página para tomar decisiones. Para más detalles, consulta el Aviso legal.
Comentar
0/400
Sin comentarios