macOS 恶意软件窃取凭据以劫持 Telegram 会话、解密加密货币钱包或通过虚假应用程序诱骗用户输入钱包恢复短语。
据区块链安全公司 SlowMist 称,macOS 信息窃取恶意软件可以劫持 Telegram Desktop 会话并危害加密货币钱包。

该恶意软件从 macOS 钥匙串、Safari cookie、Apple Notes、Telegram Desktop 以及与十多个加密货币钱包相关的数据库中收集数据。
在收集密码和经过身份验证的会话后,恶意软件会复制用户经过身份验证的 Telegram Desktop 会话数据、钱包数据库和浏览器钱包扩展数据。
SlowMist 表示,攻击者随后可以尝试使用从受感染设备获取的密码离线解密被盗的钱包数据库,或者用虚假版本替换合法的 Ledger 和 Trezor 应用程序,诱骗用户输入恢复短语。安全公司在隔离环境中重现了攻击链。
MacOS 恶意软件代码用于窃取密钥和密码。来源:慢雾
MacOS 恶意软件针对流行的加密钱包
据慢雾科技称,该恶意软件将多种技术组合成一个协调的攻击链,使攻击者能够采用不同的方法来破坏加密货币账户和钱包。
据 SlowMist 称,该恶意软件的目标包括 Exodus、Atomic、Electrum、Wasabi 和 Monero 等软件钱包,以及 Ledger Live 和 Trezor Suite 等硬件钱包应用程序。它还搜索全节点客户端存储的钱包数据,包括 Bitcoin Core、Litecoin Core、Dash Core 和 Dogecoin Core。
据 SlowMist 称,Telegram 两步验证并不能阻止攻击,因为恶意软件重复使用经过身份验证的本地会话,而不是创建新的登录名。在测试中,研究人员在另一台 Mac 上恢复了被盗的 Telegram Desktop 会话数据,而无需输入电话号码、验证码或两步验证密码。
SlowMist 敦促怀疑其设备已被入侵的用户立即终止现有的 Telegram 会话,建立新的可信登录并更改 Telegram 两步验证密码和 Telegram 桌面密码。该公司还建议在干净的设备上生成新的恢复短语并将所有资产转移到新地址。