A empresa de segurança blockchain SlowMist descobriu um malware para macOS que rouba informação, sequestra sessões do Telegram Desktop e compromete carteiras de criptomoeda. O malware recolhe dados do macOS Keychain, cookies do Safari, Apple Notes, Telegram Desktop e bases de dados associadas a mais de uma dúzia de carteiras de criptomoeda, permitindo aos atacantes descriptografar offline as bases de dados das carteiras roubadas ou substituir aplicações legítimas de carteira de hardware por versões falsas. A SlowMist reproduziu a cadeia de ataque num ambiente isolado e confirmou que a verificação em duas etapas do Telegram não impede o ataque, porque o malware reutiliza uma sessão local autenticada em vez de criar um novo login.
Depois de recolher palavras-passe e sessões autenticadas, o malware copia os dados da sessão autenticada do Telegram Desktop, as bases de dados das carteiras e os dados de extensões de wallets no browser. A SlowMist disse que os atacantes podem, então, tentar descodificar offline as bases de dados das carteiras roubadas usando palavras-passe recolhidas do dispositivo infetado ou substituir aplicações legítimas Ledger e Trezor por versões falsas que induzem os utilizadores a introduzir as suas frases de recuperação. O malware combina várias técnicas numa cadeia de ataque coordenada, permitindo aos atacantes seguir diferentes métodos para comprometer contas e carteiras de criptomoeda.
Segundo a SlowMist, o malware tem como alvo carteiras em software, incluindo Exodus, Atomic, Electrum, Wasabi e Monero, bem como aplicações de carteiras em hardware como Ledger Live e Trezor Suite. Também procura dados de carteiras guardados por clientes full-node, incluindo Bitcoin Core, Litecoin Core, Dash Core e Dogecoin Core.
A verificação em duas etapas do Telegram não impede o ataque porque o malware reutiliza uma sessão local autenticada em vez de criar um novo login, de acordo com a SlowMist. Nos testes, os investigadores restauraram dados de sessões do Telegram Desktop roubadas noutro Mac sem introduzir um número de telefone, código de verificação ou palavra-passe de verificação em duas etapas.
A SlowMist instou os utilizadores que suspeitem que os seus dispositivos foram comprometidos a terminar imediatamente as sessões atuais do Telegram, a estabelecer um novo login confiável e a alterar tanto a palavra-passe da verificação em duas etapas do Telegram como o código de acesso do Telegram Desktop. A empresa também recomendou gerar uma nova frase de recuperação num dispositivo limpo e transferir todos os ativos para novos endereços.
Que tipos de dados é que o malware para macOS rouba, segundo a SlowMist?
O malware recolhe dados do macOS Keychain, cookies do Safari, Apple Notes, Telegram Desktop e bases de dados associadas a mais de uma dúzia de carteiras de criptomoeda, incluindo dados de sessão autenticada do Telegram Desktop, bases de dados de carteiras e dados de extensões de wallet no browser.
Porque é que a verificação em duas etapas do Telegram não impede este ataque de malware?
A verificação em duas etapas do Telegram não impede o ataque porque o malware reutiliza uma sessão local autenticada em vez de criar um novo login. Os investigadores da SlowMist restauraram dados de sessões do Telegram Desktop roubadas noutro Mac sem introduzir um número de telefone, código de verificação ou palavra-passe da verificação em duas etapas.
Que medidas de segurança é que a SlowMist recomenda para utilizadores que suspeitam de comprometimento do dispositivo?
A SlowMist instou os utilizadores a terminar imediatamente as sessões atuais do Telegram, a estabelecer um novo login confiável, a alterar tanto a palavra-passe da verificação em duas etapas do Telegram como o código de acesso do Telegram Desktop, a gerar uma nova frase de recuperação num dispositivo limpo e a transferir todos os ativos para novos endereços.
Notícias relacionadas
Stefan Thomas tem 2 tentativas restantes para desbloquear 7,002 Bitcoin num dispositivo IronKey
A Enso identifica pools tóxicos que manipulam a execução das negociações em DeFi
Homem da Flórida detido por roubo de $220K em criptomoedas através de malware de videojogo