Le malware pour macOS détourne des sessions Telegram et cible des portefeuilles crypto

BTC-1,57%
LTC-0,22%
DASH-0,20%
DOGE-1,71%

La société de sécurité blockchain SlowMist a découvert un malware macOS qui vole des informations : il détourne les sessions de Telegram Desktop et compromet des portefeuilles de cryptomonnaies. Le malware récupère des données depuis le trousseau macOS (macOS Keychain), les cookies de Safari, les Notes Apple, Telegram Desktop ainsi que des bases de données associées à plus d’une douzaine de portefeuilles de cryptomonnaies. Cela permet aux attaquants de déchiffrer des bases de données de portefeuilles dérobées hors ligne ou de remplacer des applications de portefeuille matériel légitimes par des versions frauduleuses. SlowMist a reproduit la chaîne d’attaque dans un environnement isolé et a confirmé que la vérification en deux étapes de Telegram n’empêche pas l’attaque, car le malware réutilise une session locale authentifiée au lieu d’ouvrir une nouvelle connexion.

SlowMist identifie les méthodes de vol de données du malware macOS

Après avoir collecté des mots de passe et des sessions authentifiées, le malware copie les données de session authentifiée de Telegram Desktop des utilisateurs, des bases de données de portefeuilles et des données d’extensions de portefeuille du navigateur. SlowMist a déclaré que les attaquants peuvent ensuite tenter de déchiffrer hors ligne les bases de données de portefeuilles dérobées à l’aide des mots de passe récoltés sur l’appareil infecté, ou remplacer des applications de portefeuille matériel légitimes Ledger et Trezor par des versions frauduleuses qui poussent les utilisateurs à saisir leurs phrases de récupération. Le malware combine plusieurs techniques dans une chaîne d’attaque coordonnée, permettant aux attaquants de recourir à différentes méthodes pour compromettre des comptes et des portefeuilles de cryptomonnaies.

Le malware vise les portefeuilles crypto logiciels et matériels

D’après SlowMist, le malware cible des portefeuilles logiciels, notamment Exodus, Atomic, Electrum, Wasabi et Monero, ainsi que des applications de portefeuille matériel comme Ledger Live et Trezor Suite. Il recherche également des données de portefeuille stockées par des clients de nœud complet, dont Bitcoin Core, Litecoin Core, Dash Core et Dogecoin Core.

La vérification en deux étapes de Telegram échoue à empêcher le détournement de session

La vérification en deux étapes de Telegram n’empêche pas l’attaque, car le malware réutilise une session locale authentifiée au lieu de créer une nouvelle connexion, selon SlowMist. Lors des tests, des chercheurs ont restauré des données de session de Telegram Desktop dérobées sur un autre Mac sans saisir de numéro de téléphone, de code de vérification ni de mot de passe de vérification en deux étapes.

SlowMist recommande des mesures de sécurité immédiates pour les appareils compromis

SlowMist a exhorté les utilisateurs qui pensent que leurs appareils ont été compromis à mettre immédiatement fin aux sessions Telegram existantes, à établir une nouvelle connexion de confiance et à modifier à la fois leur mot de passe de vérification en deux étapes Telegram et le code d’accès Telegram Desktop. L’entreprise a également recommandé de générer une nouvelle phrase de récupération sur un appareil propre et de transférer tous les actifs vers de nouvelles adresses.

FAQ

Quels types de données le malware macOS vole-t-il selon SlowMist ?

Le malware récupère des données depuis le trousseau macOS (macOS Keychain), les cookies de Safari, les Notes Apple, Telegram Desktop et des bases de données associées à plus d’une douzaine de portefeuilles de cryptomonnaies, y compris des données de session authentifiée de Telegram Desktop, des bases de données de portefeuilles et des données d’extensions de portefeuille du navigateur.

Pourquoi la vérification en deux étapes de Telegram n’empêche-t-elle pas cette attaque de malware ?

La vérification en deux étapes de Telegram ne l’empêche pas car le malware réutilise une session locale authentifiée au lieu d’ouvrir une nouvelle connexion. Les chercheurs de SlowMist ont restauré des données de session de Telegram Desktop dérobées sur un autre Mac sans saisir de numéro de téléphone, de code de vérification ni de mot de passe de vérification en deux étapes.

Quelles mesures de sécurité SlowMist recommande-t-il aux utilisateurs qui suspectent une compromission de l’appareil ?

SlowMist a exhorté les utilisateurs à mettre immédiatement fin aux sessions Telegram existantes, à établir une nouvelle connexion de confiance, à modifier à la fois leur mot de passe de vérification en deux étapes Telegram et le code d’accès Telegram Desktop, à générer une nouvelle phrase de récupération sur un appareil propre et à transférer tous les actifs vers de nouvelles adresses.

Avertissement : Les informations figurant sur cette page peuvent provenir de sources tierces et sont fournies à titre indicatif uniquement. Elles ne reflètent pas les points de vue ou opinions de Gate et ne constituent pas un conseil financier, d’investissement ou juridique. Le trading des actifs virtuels comporte des risques élevés. Veuillez ne pas vous fonder uniquement sur les informations de cette page pour prendre vos décisions. Pour en savoir plus, consultez l’avertissement.
Commentaire
0/400
Aucun commentaire