De bedreigingen in het digitale landschap evolueren voortdurend, en recent bewijs toont aan dat macOS specifiek doelwit is geworden van informatie-steelende malware. Deze malware, zoals gerapporteerd door het blockchain-beveiligingsbedrijf SlowMist, kan Telegram Desktop-sessies overnemen en daarmee ook cryptowallets in gevaar brengen.
Wat deze malware bijzonder insidious maakt, is het vermogen om data te oogsten uit een breed scala aan bronnen. Dit omvat de macOS Keychain — waar wachtwoorden veilig worden opgeslagen — Safari-cookies, Apple Notes, en databases van meer dan een dozijn populaire cryptocurrency wallets. Door deze informatie samen te voegen, kan de malware niet alleen wachtwoorden en sessies afleiden, maar ook de authentificatiegegevens van Telegram Desktop behalen.
Een van de meest zorgwekkende aspecten is dat de aanvallers in staat zijn om de gestolen gegevens offline te ontsleutelen, gebruikmakend van de van de besmette apparaten verzamelde wachtwoorden. Bovendien kan de malware legitieme applicaties van hardware wallets zoals Ledger en Trezor vervangen door vervalste versies, die gebruikers misleiden om hun herstelzinnen in te voeren. De reproduceerbaarheid van deze aanval-chain in een gecontroleerde omgeving door SlowMist benadrukt de urgentie van deze bedreiging.
De malware combineert meerdere technieken in een gecoördineerde aanval, wat het voor aanvallers vergemakkelijkt om verschillende methoden te gebruiken voor het compromitteren van cryptocurrency-accounts en wallets. SlowMist meldt dat de malware zich richt op software wallets zoals Exodus, Atomic, Electrum, Wasabi en Monero, evenals op hardware wallet-applicaties zoals Ledger Live en Trezor Suite. Ook wordt gezocht naar wallet-gegevens die zijn opgeslagen door full-node clients, waaronder Bitcoin Core, Litecoin Core, Dash Core en Dogecoin Core.
Belangrijk om te noteren is dat de tweestapsverificatie van Telegram deze aanval niet voorkomt. De malware maakt gebruik van een geauthenticeerde lokale sessie in plaats van een nieuwe login aan te maken. In tests konden onderzoekers gestolen Telegram Desktop-sessiegegevens op een ander Mac-systeem herstellen zonder dat er een telefoonnummer, verificatiecode of tweestapsverificatie-wachtwoord nodig was. Dit roept enkele kritische vragen op over de effectiviteit van huidige beveiligingsmaatregelen.
SlowMist adviseert gebruikers die vermoeden dat hun apparaten zijn gecompromitteerd, om direct bestaande Telegram-sessies te beëindigen. Het is van vitaal belang om een nieuwe vertrouwde login op te zetten en zowel het wachtwoord voor de tweestapsverificatie als de Telegram Desktop-wachtwoordcode te wijzigen. Daarnaast raadt het bedrijf aan om een nieuwe herstelzin te genereren op een schoon apparaat en om alle activa over te dragen naar nieuwe adressen.
Hoe kan ik mijn cryptocurrency-wallet beschermen tegen deze malware?
Zorg ervoor dat je altijd de nieuwste versie van je wallet-applicaties en besturingssysteem gebruikt en overweeg het inschakelen van extra beveiligingsopties zoals hardware wallets voor een betere bescherming.
Wat moet ik doen als ik denk dat mijn apparaat besmet is?
Beëindig onmiddellijk alle bestaande sessies, wijzig al je wachtwoorden en herstelzinnen. Het is ook raadzaam om een schone herinstallatie van je besturingssysteem te overwegen.
Heeft deze malware invloed op de bredere cryptomarkt?
Wanneer gebruikers verliezen en vertrouwen in de veiligheid van hun wallets afneemt, kan dit leiden tot grotere verkoopgolven en zo de markt beïnvloeden. De emergente bedreigingen zoals deze moeten serieus genomen worden door zowel investeerders als ontwikkelaars.
