Malware trên macOS đang nhắm vào người dùng crypto bằng cách chiếm Telegram Desktop, đánh cắp mật khẩu và cơ sở dữ liệu ví, qua đó có thể chiếm tài khoản và lấy tài sản số.
Nhóm ví và ứng dụng bị ảnh hưởng gồm Exodus, Atomic, Electrum, Wasabi và Monero. Mã độc này còn có thể lấy dữ liệu từ macOS Keychain, Safari Cookies, Apple Notes và các cơ sở dữ liệu liên quan đến ví crypto, bao gồm thông tin đăng nhập, tệp phiên đã xác thực, dữ liệu ví và thông tin tiện ích trình duyệt.
Điểm nguy hiểm của chuỗi tấn công là nó không phụ thuộc vào một lỗ hổng ví đơn lẻ. Mã độc thu thập nhiều loại dữ liệu trên thiết bị, rồi kết hợp xâm nhập máy, chiếm quyền tài khoản, bẻ khóa ví và đánh cắp seed phrase.
Telegram Desktop là mục tiêu chính. Kẻ tấn công có thể sao chép dữ liệu phiên cục bộ đã xác thực và khôi phục đăng nhập trên một máy Mac khác mà không cần số điện thoại, mã xác minh hay mật khẩu 2FA của Telegram.
Với người dùng crypto, rủi ro tăng thêm vì Telegram thường dùng cho hỗ trợ sàn, cộng đồng dự án, giao dịch OTC và liên lạc về ví. Khi chiếm được phiên của nạn nhân, kẻ tấn công có thể giả mạo danh tính, đọc tin nhắn riêng tư, tìm thông tin tài sản và phát tán liên kết độc hại tới danh bạ.