Специалисты SlowMist обнаружили новую вредоносную программу для macOS, предназначенную для кражи данных пользователей Telegram и владельцев криптовалют. Помимо учетных данных, она собирает информацию, связанную с криптокошельками, которую злоумышленники могут использовать на следующих этапах атаки.
По данным SlowMist, вредоносное ПО копирует служебные файлы Telegram Desktop и Telegram для macOS, содержащие данные действующей пользовательской сессии. Используя их, злоумышленники могут восстановить эту сессию на другом устройстве без повторного входа.
Исследователи также отмечают, что часть локально сохраненной истории переписки может оставаться доступной даже после применения Telegram серверных мер защиты.
Помимо Telegram программа извлекает пароли из связки ключей macOS, браузеров и приложения «Заметки». В сочетании с файлами криптокошельков эти данные позволяют злоумышленникам попытаться расшифровать их базы в офлайн-режиме.
Для владельцев Ledger и Trezor есть отдельный сценарий атаки: интерфейс аппаратных кошельков подменяется, после чего пользователей перенаправляют на фишинговые страницы для кражи сид-фраз.
Социальная инженерия остается основным вектором атаки
По данным SlowMist, злоумышленники распространяют программу с помощью методов социальной инженерии. Основной интерес для них представляют пользователи macOS, которые используют Telegram для работы и хранят криптокошельки на компьютере.
Исследователи советуют включить код-пароль в Telegram и отказаться от хранения критически важных данных в связке ключей macOS и приложении «Заметки».
