macOSのマルウェアがTelegramの二段階認証を回避し、暗号ウォレットとアカウント権限を盗むことができる
FinanceFeedsによると、安全研究者はmacOSデバイスを狙った情報窃取マルウェアが暗号ユーザーを攻撃していることを発見しました。このソフトウェアは、Telegram Desktopセッションをハイジャックし、パスワードやウォレットデータベースを盗むことで、ユーザーアカウントをさらに制御し、デジタル資産を盗むことができます。現在影響を受けているウォレットやアプリには、Exodus、Atomic、Electrum、Wasabi、Moneroなどのソフトウェアウォレットが含まれています。
このマルウェアは、macOS Keychain、Safari Cookie、Apple Notes、Telegram Desktop、そして複数の暗号ウォレット関連データベースから、ログイン資格情報、認証されたセッションファイル、ウォレットデータ、ブラウザ拡張情報などの敏感情報を抽出することができます。安全分析によると、この攻撃チェーンの危険性は、単一のウォレットの脆弱性に依存していない点にあり、デバイス上の多様なデータを収集することで、デバイス侵入、アカウント乗っ取り、ウォレットのクラッキング、そしてニーモニックフレーズの窃取をつなげています。その中で、Telegram Desktopセッションが重点的なターゲットとなっています。
攻撃者は、認証されたTelegramのローカルセッションデータをコピーし、別のMacデバイスでログインを復元することができ、電話番号、確認コード、またはTelegramの二要素認証パスワードを入力する必要がありません。これは、Telegramの2FAがこの攻撃シナリオでは完全な保護を提供できないことを意味します。なぜなら、攻撃者は新しいログインを行うのではなく、すでに信頼されたローカルセッションを利用しているからです。暗号ユーザーにとって、リスクはさらに拡大します。Telegramは取引所のカスタマーサービス、プロジェクトコミュニティ、OTC取引、そしてウォレットコミュニケーションに広く使用されているため、攻撃者がユーザーのセッション権限を取得すると、被害者の身分を偽装し、プライベートチャットを読み取り、資産情報を特定し、さらには連絡先に悪意のあるリンクを広める可能性があります。






