
macOS-haittaohjelma kaappaa Telegram-istunnon ja tyhjentää kryptolompakot – kaksivaiheinen varmennus ei auta
- SlowMist palautti varastetun tdata-kansion toiseen Maciin ja jatkoi uhrin Telegram-istuntoa ilman varmennusta.
- Haittaohjelma tavoittelee macOS:n Keychainia, Apple Notes -muistiinpanoja ja noin 16 kryptolompakkoa.
- Ainoa varma suoja on olla ajamatta verkkosivun käskemää Terminal-komentoa.
SlowMistin analysoima Atomic macOS Stealer -variantti kopioi valmiin Telegram-istunnon istuntoavaimineen, joten salasanan murtamista ei tarvita lainkaan. Tartunta leviää sosiaalisella manipuloinnilla, jossa uhri houkutellaan ajamaan haitallinen komento itse.
Kaksivaiheinen varmennus on ollut kryptosijoittajan perusturva. Nyt macOS-käyttäjiin kohdistuva haittaohjelma ohittaa sen kokonaan.
Lohkoketjuturvayhtiö SlowMist havaitsi näytteen sisäisellä MistEye-järjestelmällään. Vuonna 2018 perustetun yhtiön tutkija Bruce Xu nosti tartunnan julki 8. heinäkuuta.
Kyseessä on Universal Mach-O -binääri, joka toimii sekä Intel- että Apple Silicon -koneilla. SlowMist arvioi sen Atomic macOS Stealer -haittaohjelman variantiksi. Näyte kulki tunnisteella unix32385485.
Tartunta ei leviä huomaamattoman drive-by-latauksen kautta. Uhri houkutellaan ajamaan komento itse. Google Sites -sivustolla oleva valeyhteisön hakemuslomake ohjaa käyttäjän muka turvavarmennukseen. Se käskee liittämään Terminaaliin komennon tai lataamaan .scpt-tiedoston. Komento purkaa piilotetun koodin ja hakee varsinaisen hyötykuorman hyökkääjän palvelimelta.
Miksi kaksivaiheinen varmennus ei sitten pysäytä hyökkäystä?
Istunnon kaappaus (session hijacking)
Kun palveluun kirjaudutaan, laite saa istuntoavaimen, joka pitää käyttäjän sisällä ilman uutta salasanaa. Kaksivaiheinen varmennus tarkistetaan vain kirjautumishetkellä. Jos hyökkääjä varastaa valmiin istuntoavaimen, hän astuu suoraan jo avattuun istuntoon eikä varmennusta kysytä uudelleen.
Haittaohjelma kopioi Telegram Desktopin tdata-kansion, jossa ovat istunnon salausavaimet. SlowMist palautti tiedostot toiseen Maciin, ja Telegram jatkoi uhrin istuntoa suoraan. Puhelinnumeroa, tekstiviestikoodia tai kaksivaiheista salasanaa ei kysytty.
SlowMist kehottaa kohtelemaan jokaista Terminal- tai .scpt-pyyntöä korkean riskin merkkinä ja jättämään komennon ajamatta.
Telegram ei ole ainoa kohde. Haittaohjelma tyhjentää macOS:n Keychainin, Safarin evästeet ja Apple Notes -muistiinpanot, joihin moni tallentaa palautuslauseensa. Lisäksi se etsii noin 16 lompakkosovellusta, muun muassa Electrumin, Exoduksen ja Moneron, sekä laitelompakoiden Ledger Liven ja Trezor Suiten oheissovellukset.
Kerätyt tiedostot pakataan yhteen arkistoon ja lähetetään hyökkääjän komentopalvelimelle. SlowMistin analyysissa varsinainen hyötykuorma haettiin kiinteästä palvelinosoitteesta ja tallennettiin koneen väliaikaiskansioon. Sen jälkeen edessä on kaksi vaihtoehtoa.
Salasanoilla suojatut lompakkotietokannat puretaan rauhassa offline-tilassa. Tai aidot Ledger- ja Trezor-sovellukset korvataan väärennöksillä, jotka kalastelevat palautuslauseen. Palautuslauseen haltuunsa saanut hyökkääjä voi luoda saman lompakon omalle koneelleen ja tyhjentää sen ilman uhrin laitetta.
Suojautuminen lähtee yhdestä säännöstä. Verkkosivun käskemää Terminal-komentoa tai .scpt-tiedostoa ei aja koskaan, olipa lomakkeen kuori kuinka virallinen tahansa.
Jos kone on jo saattanut saada tartunnan, toimi puhtaalta laitteelta. Sulje kaikki Telegram-istunnot ja vaihda kaksivaiheinen salasana sekä Telegramin pääsykoodi. Luo uusi palautuslause saastuttamattomalla koneella ja siirrä varat uusiin osoitteisiin.
Uhrien määrää ei ole toistaiseksi julkistettu. Sosiaaliseen manipulointiin nojaava hyökkäys ei kuitenkaan katso, kuinka vahva salasana lompakon takana on – ratkaisevaa on, mitä käyttäjä suostuu itse tekemään.









