Perusahaan keamanan blockchain SlowMist menemukan malware berbahaya di macOS yang mencuri informasi, membajak sesi Telegram Desktop, dan mengompromikan dompet mata uang kripto. Malware ini mengambil data dari macOS Keychain, cookie Safari, Apple Notes, Telegram Desktop, serta database yang terkait dengan lebih dari selusin dompet mata uang kripto, sehingga memungkinkan penyerang mendekripsi database dompet yang dicuri secara offline atau mengganti aplikasi hardware wallet yang sah dengan versi palsu. SlowMist mereproduksi rantai serangan dalam lingkungan terisolasi dan mengonfirmasi bahwa verifikasi dua langkah Telegram tidak mencegah serangan karena malware menggunakan kembali sesi lokal yang sudah terautentikasi, bukan membuat login baru.
Setelah mengumpulkan kata sandi dan sesi yang terautentikasi, malware menyalin data sesi Telegram Desktop yang terautentikasi, database dompet, serta data ekstensi browser wallet. SlowMist mengatakan penyerang kemudian dapat mencoba mendekripsi database dompet yang dicuri secara offline menggunakan kata sandi yang diambil dari perangkat yang terinfeksi, atau mengganti aplikasi Ledger dan Trezor yang sah dengan versi palsu yang menipu pengguna agar memasukkan frasa pemulihan mereka. Malware menggabungkan beberapa teknik ke dalam rantai serangan yang terkoordinasi, memungkinkan penyerang mengupayakan berbagai cara untuk mengompromikan akun kripto dan dompet.
Menurut SlowMist, malware menargetkan dompet perangkat lunak termasuk Exodus, Atomic, Electrum, Wasabi, dan Monero, serta aplikasi hardware wallet seperti Ledger Live dan Trezor Suite. Malware ini juga mencari data dompet yang tersimpan oleh klien full-node, termasuk Bitcoin Core, Litecoin Core, Dash Core, dan Dogecoin Core.
Verifikasi dua langkah Telegram tidak mencegah serangan karena malware menggunakan kembali sesi lokal yang sudah terautentikasi alih-alih membuat login baru, menurut SlowMist. Dalam pengujian, peneliti memulihkan data sesi Telegram Desktop yang dicuri di Mac lain tanpa memasukkan nomor telepon, kode verifikasi, atau kata sandi verifikasi dua langkah.
SlowMist mendesak pengguna yang mencurigai perangkatnya telah dikompromikan untuk segera menghentikan sesi Telegram yang sedang berjalan, membuat login tepercaya yang baru, serta mengubah kata sandi verifikasi dua langkah Telegram dan Passcode Telegram Desktop. Perusahaan itu juga merekomendasikan untuk membuat frasa pemulihan baru di perangkat yang bersih dan memindahkan semua aset ke alamat baru.
Jenis data apa yang dicuri malware macOS menurut SlowMist?
Malware mencuri data dari macOS Keychain, cookie Safari, Apple Notes, Telegram Desktop, serta database yang terkait dengan lebih dari selusin dompet mata uang kripto, termasuk data sesi Telegram Desktop yang terautentikasi, database dompet, dan data ekstensi browser wallet.
Mengapa verifikasi dua langkah Telegram tidak mencegah serangan malware ini?
Verifikasi dua langkah Telegram tidak mencegah serangan karena malware menggunakan kembali sesi lokal yang sudah terautentikasi alih-alih membuat login baru. Peneliti SlowMist memulihkan data sesi Telegram Desktop yang dicuri di Mac lain tanpa memasukkan nomor telepon, kode verifikasi, atau kata sandi verifikasi dua langkah.
Langkah keamanan apa yang direkomendasikan SlowMist untuk pengguna yang mencurigai perangkatnya dikompromikan?
SlowMist mendesak pengguna untuk segera menghentikan sesi Telegram yang sedang berjalan, membuat login tepercaya yang baru, mengubah kata sandi verifikasi dua langkah Telegram dan Passcode Telegram Desktop, membuat frasa pemulihan baru di perangkat yang bersih, serta memindahkan semua aset ke alamat baru.
Berita Terkait
Stefan Thomas memiliki 2 percobaan tersisa untuk membuka 7.002 Bitcoin di drive IronKey
Enso Mengidentifikasi Pool Beracun yang Memanipulasi Eksekusi Perdagangan DeFi
Pria Florida Ditangkap karena Pencurian Kripto $220K melalui Malware dalam Video Game