Puntos clave de la noticia:
- SlowMist identificó malware en macOS capaz de secuestrar sesiones de Telegram Desktop y comprometer wallets al recolectar Keychain, cookies de Safari, Apple Notes y bases de datos.
- Atacantes pueden reutilizar sesiones autenticadas de Telegram sin nuevos códigos ni verificación en dos pasos, y usar apps falsas de Ledger y Trezor.
- Usuarios deben cerrar sesiones de Telegram, cambiar contraseñas y passcodes, generar frases, y usar apps falsas de Ledger y Trezor.
- nuevas en dispositivos limpios y mover fondos de inmediato.
Una nueva campaña de robo de información en macOS refuerza una lección conocida para usuarios cripto: la seguridad de una wallet puede fallar antes de que empiece cualquier transacción blockchain. SlowMist identificó malware capaz de secuestrar sesiones de Telegram Desktop y comprometer wallets de criptomonedas al recolectar datos del Keychain de macOS, cookies de Safari, Apple Notes, Telegram Desktop y bases de datos vinculadas a más de una docena de wallets. El ataque apunta a la capa local de confianza del usuario, donde contraseñas guardadas, sesiones autenticadas y archivos de wallet pueden bastar para que atacantes pasen del acceso al dispositivo a la toma de cuentas.
Las sesiones de Telegram se vuelven el puente del atacante hacia wallets
El malware no depende de una sola ruta. Después de recolectar credenciales y datos de sesión, los atacantes pueden copiar sesiones autenticadas de Telegram Desktop, bases de datos de wallets y datos de extensiones de navegador, y luego intentar descifrado offline usando contraseñas robadas del Mac infectado. SlowMist también reprodujo una segunda táctica: reemplazar aplicaciones legítimas de Ledger Live y Trezor Suite por versiones falsas diseñadas para engañar a víctimas y hacerles ingresar frases de recuperación. La campaña combina robo de credenciales con infraestructura de phishing, volviéndose peligrosa incluso cuando las claves privadas no quedan expuestas en texto plano.

El ángulo de Telegram es especialmente preocupante porque la verificación en dos pasos puede no detener la intrusión. Las pruebas de SlowMist restauraron datos robados de sesión de Telegram Desktop en otro Mac sin necesitar número telefónico, código de verificación ni contraseña de verificación en dos pasos. Eso significa que el atacante no crea un nuevo inicio de sesión. Reutiliza una sesión local confiable ya aprobada por el dispositivo de la víctima. El secuestro de sesión evita la comodidad de las alertas de login, convirtiendo una computadora comprometida en puente para ingeniería social, monitoreo de cuentas y ataques posteriores a wallets.
La lista de wallets muestra el alcance del barrido. El malware apunta a wallets de software como Exodus, Atomic, Electrum, Wasabi y Monero; apps de hardware wallet como Ledger Live y Trezor Suite; y datos de clientes full-node como Bitcoin Core, Litecoin Core, Dash Core y Dogecoin Core. Ante infecciones sospechadas, SlowMist recomienda terminar sesiones existentes de Telegram, crear un nuevo login confiable, cambiar la contraseña de verificación en dos pasos y el Passcode de Telegram Desktop, luego generar una nueva frase semilla en un dispositivo limpio y mover fondos a nuevas direcciones. La defensa exige una respuesta estricta, porque una vez infectado el Mac, rotar contraseñas no basta para proteger wallets, sesiones y frases semilla.



