PANews 7月18日、FinanceFeedsの報道によると、セキュリティ研究者らがmacOSデバイスを標的とする情報窃取型マルウェアを発見した。このマルウェアは暗号資産ユーザーを攻撃しており、Telegram Desktopセッションの乗っ取り、パスワードやウォレットデータベースの窃取などを通じて、ユーザーアカウントをさらに制御し、デジタル資産を盗み出す。現在、影響を受けるウォレットおよびアプリケーションには、Exodus、Atomic、Electrum、Wasabi、Moneroなどのソフトウェアウォレットが含まれる。このマルウェアは、macOS Keychain、Safari Cookie、Apple Notes、Telegram Desktop、および複数の暗号資産ウォレット関連データベースから、ログイン認証情報、認証済みセッションファイル、ウォレットデータ、ブラウザ拡張機能情報などの機密情報を抽出することができる。
セキュリティ分析によると、この攻撃チェーンの危険性は、単一のウォレットの脆弱性に依存しているのではなく、デバイス上の複数種類のデータを収集することで、デバイス侵入、アカウント乗っ取り、ウォレットのクラッキング、ニーモニックの窃取を連鎖させている点にある。なかでもTelegram Desktopセッションが重点的な標的となっている。攻撃者は認証済みのTelegramローカルセッションデータをコピーし、別のMacデバイス上でログインを復元することが可能で、その際に電話番号、認証コード、Telegramの二要素認証パスワードを入力する必要はない。これは、Telegramの2FAが当該攻撃シナリオでは完全な保護を提供できないことを意味する。攻撃者は新規ログインを行うのではなく、すでに信頼されたローカルセッションを悪用しているからだ。
暗号資産ユーザーにとって、リスクはさらに拡大する。Telegramは取引所のカスタマーサポート、プロジェクトコミュニティ、OTC取引、ウォレット関連の連絡に広く利用されているため、攻撃者がユーザーのセッション権限を取得すると、被害者になりすまし、プライベートチャットの閲覧、資産情報の特定、さらには連絡先への悪意のあるリンクの拡散などを行う可能性がある。



