
Malware para macOS secuestra sesiones de Telegram y apunta a billeteras de cripto, según SlowMist
Un malware para macOS roba credenciales para secuestrar sesiones de Telegram, descifrar billeteras de cripto o engañar a usuarios para que ingresen frases de recuperación en apps falsas.

Un malware para macOS diseñado para robar información puede secuestrar sesiones de Telegram Desktop y comprometer billeteras de criptomonedas, según la firma de seguridad blockchain SlowMist.
El malware extrae datos del Keychain de macOS, cookies de Safari, Apple Notes, Telegram Desktop y bases de datos asociadas con más de una docena de billeteras de criptomonedas.
Después de recopilar contraseñas y sesiones autenticadas, el malware copia los datos de sesión autenticada de Telegram Desktop de los usuarios, las bases de datos de billeteras y los datos de las extensiones de billetera del navegador.
SlowMist señaló que los atacantes pueden luego intentar descifrar las bases de datos de billeteras robadas fuera de línea utilizando contraseñas extraídas del dispositivo infectado o reemplazar las aplicaciones legítimas de Ledger y Trezor con versiones falsas que engañan a los usuarios para que ingresen sus frases de recuperación. La firma de seguridad reprodujo la cadena de ataque en un entorno aislado.

Código del malware de macOS utilizado para robar claves y contraseñas. Fuente: SlowMist
El malware de macOS apunta a billeteras de criptomonedas populares
Según SlowMist, el malware combina múltiples técnicas en una cadena de ataque coordinada, lo que permite a los atacantes utilizar diferentes métodos para comprometer cuentas y billeteras de criptomonedas.
El malware apunta a billeteras de software, incluidas Exodus, Atomic, Electrum, Wasabi y Monero, así como a aplicaciones de billeteras de hardware como Ledger Live y Trezor Suite, según SlowMist. También busca datos de billeteras almacenados por clientes de nodo completo, incluidos Bitcoin Core, Litecoin Core, Dash Core y Dogecoin Core.
La verificación en dos pasos de Telegram no previene el ataque porque el malware reutiliza una sesión local autenticada en lugar de crear un nuevo inicio de sesión, según SlowMist. En las pruebas, los investigadores restauraron los datos de sesión robados de Telegram Desktop en otra Mac sin ingresar un número de teléfono, código de verificación o contraseña de verificación en dos pasos.
SlowMist instó a los usuarios que sospechan que sus dispositivos han sido comprometidos a terminar inmediatamente las sesiones existentes de Telegram, establecer un nuevo inicio de sesión confiable y cambiar tanto la contraseña de verificación en dos pasos de Telegram como el código de paso de Telegram Desktop. La empresa también recomendó generar una nueva frase de recuperación en un dispositivo limpio y transferir todos los activos a nuevas direcciones.

