Οι εκστρατείες στον κυβερνοχώρο χρησιμοποιούν ψεύτικες εφαρμογές Ledger για να στοχεύουν τους χρήστες MacOS και τα ψηφιακά τους περιουσιακά στοιχεία, αναπτύσσοντας κακόβουλο λογισμικό που επιχειρεί να κλέψει φράσεις σπόρων που προστατεύουν την πρόσβαση σε ψηφιακά πορτοφόλια κρυπτογράφησης.
Το Ledger είναι ένα δημοφιλές πορτοφόλι με βάση το υλικό που έχει σχεδιαστεί για να αποθηκεύει την κρυπτογράφηση εκτός σύνδεσης (ψυχρή αποθήκευση) και με ασφαλή τρόπο.
Μια φράση σπόρου ή ανάκτησης είναι ένα σύνολο 12 ή 24 τυχαίων λέξεων που επιτρέπουν την ανάκτηση των ψηφιακών περιουσιακών στοιχείων εάν το πορτοφόλι χαθεί ή ο κωδικός πρόσβασης ξεχασμένο. Έτσι, προορίζεται να αποθηκευτεί εκτός σύνδεσης και ιδιωτικό.
Σε τέτοιες επιθέσεις επισημάνθηκαν σε ένα Έκθεση εργαστηρίου Moonlock Labη κακόβουλη εφαρμογή μιμείται την εφαρμογή Ledger σε μια προσπάθεια να εξαπατηθεί ο χρήστης να πληκτρολογήσει τη φράση σπόρων σε μια σελίδα “ψαρέματος”.
Το Moonlock Lab λέει ότι έχουν παρακολουθήσει αυτές τις επιθέσεις από τον περασμένο Augustaugust 2024, όταν οι κλώνοι της εφαρμογής θα μπορούσαν μόνο να “κλέψουν κωδικούς πρόσβασης, σημειώσεις και λεπτομέρειες πορτοφολιών για να πάρουν μια ματιά στα περιουσιακά στοιχεία του πορτοφολιού”. Αυτές οι πληροφορίες δεν θα ήταν αρκετές για να έχουν πρόσβαση στα κεφάλαια.
Με την πρόσφατη ενημέρωση που επικεντρώνεται στην κλοπή της φράσης σπόρων, οι εγκληματίες του κυβερνοχώρου μπορούν να εκκενώσουν τα πορτοφόλια των θυμάτων.
Εξέλιξη των εκστρατειών βιβλίων
Τον Μάρτιο, το Moonlock Lab εντοπίζει έναν ηθοποιό απειλής χρησιμοποιώντας το ψευδώνυμο «Rodrigo» που αναπτύσσει ένα νέο κλέφτη MacOS που ονομάζεται «Odyssey».
Το νέο κακόβουλο λογισμικό αντικαθιστά τη νόμιμη εφαρμογή Ledger Live στη συσκευή του θύματος για να καταστήσει την επίθεση πιο αποτελεσματική.
Το κακόβουλο λογισμικό ενσωμάτωσε μια σελίδα ηλεκτρονικού “ψαρέματος” μέσα σε μια ψεύτικη εφαρμογή Ledger ζητώντας από το θύμα να εισαγάγει τη φράση σπόρων 24 λέξεων για να ανακτήσει τον λογαριασμό τους μετά την εμφάνιση ενός ψεύτικου μηνύματος “κρίσιμου σφάλματος”.
Πηγή: Lab Moonlock
Η Odyssey μπορεί επίσης να κλέψει τα ονόματα χρήστη MacOS και να εξαλείψει όλα τα δεδομένα που παρέχονται μέσω των πεδίων ηλεκτρονικού “ψαρέματος” στον διακομιστή εντολών και ελέγχου (C2) του Rodrigo.
Η αποτελεσματικότητα αυτού του νέου κομματιού κακόβουλου λογισμικού κέρδισε γρήγορα την προσοχή σε όλα τα υπόγεια φόρουμ, προκαλώντας επιθέσεις αντιγράφων από το Amos Stealer που εφάρμοσε παρόμοια χαρακτηριστικά.
Τον περασμένο μήνα, εντοπίστηκε μια νέα εκστρατεία Amos χρησιμοποιώντας ένα αρχείο DMG με το όνομα ‘Jandiinstaller.dmg’, το οποίο παρακάμπτει το gatekeeper για να εγκαταστήσει μια εφαρμογή κλώνου Lizanized Ledger που έδειξε οθόνες ψαρέματος Rodrigo.
Πηγή: Lab Moonlock
Τα θύματα που πέφτουν για το τέχνασμα και πληκτρολογώντας τη φράση των σπόρων 24 λέξεων στο Amos πήρε ένα παραπλανητικό μήνυμα “κατεστραμμένο” εφαρμογής “για να μειώσει την υποψία και να επιτρέψει στους επιτιθέμενους αρκετούς χρόνους να περάσουν τα περιουσιακά στοιχεία.
Περίπου την ίδια στιγμή, ένας ξεχωριστός ηθοποιός που χρησιμοποιεί τη λαβή ‘@MentalPoitive’ άρχισε να διαφημίζει μια ενότητα “Anti-Ledger” σε φόρουμ σκοτεινού ιστού, αν και το Moonlock δεν μπορούσε να βρει εκδόσεις εργασίας του.
Αυτό το μήνα, ερευνητές στο JAMF, μια εταιρεία που παρέχει στους οργανισμούς λογισμικό για τη διαχείριση συσκευών της Apple, ακάλυπτος Μια άλλη εκστρατεία όπου ένα PyInstaller-packed δυαδικό σε ένα αρχείο DMG κατεβάσει μια σελίδα phishing που φορτώθηκε μέσω iframe σε μια ψεύτικη διεπαφή Ledger Live για να κλέψει τις φράσεις των σπόρων των χρηστών.
Παρόμοια με την εκστρατεία Amos Stealer, οι επιθέσεις που ανακάλυψε το JAMF ακολουθούν μια υβριδική προσέγγιση, στοχεύοντας δεδομένα του προγράμματος περιήγησης, τις “καυτές” διαμορφώσεις πορτοφολιών και τις πληροφορίες του συστήματος μαζί με το στοχευμένο ψάρεμα του Ledger.
Πηγή: Lab Moonlock
Για να διατηρήσετε τα πορτοφόλια σας ασφαλή, κατεβάστε μόνο την εφαρμογή Ledger Live από τον επίσημο ιστότοπο και ελέγξτε πάντα πριν πληκτρολογήσετε τη φράση των σπόρων σας, η οποία θα πρέπει να συμβεί μόνο όταν χάσετε πρόσβαση στο φυσικό πορτοφόλι.
Απαιτείται μόνο για να χρησιμοποιήσετε τη φράση σπόρων όταν αποκαθιστάτε το πορτοφόλι σας ή δημιουργείτε μια νέα συσκευή. Ακόμα και τότε, η φράση εισάγεται στη συσκευή φυσικού βιβλίου και όχι στην εφαρμογή ή σε οποιονδήποτε ιστότοπο.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
