С августа 2024 года исследователи из Moonlock Lab активно отслеживают крупномасштабную вредоносную кампанию, направленную против пользователей Ledger Live — популярного приложения для управления криптовалютой с помощью холодных кошельков Ledger. За прошедший год тактика злоумышленников значительно эволюционировала, открывая перед ними новые возможности для кражи конфиденциальных данных и контроля над криптовалютными активами жертв.
От первоначальной кражи данных к прямому захвату кошельков
Изначально злоумышленники ограничивались похищением пользовательских данных, таких как пароли и реквизиты кошелька, без возможности непосредственного извлечения средств. Однако, по мере развития кампании, их методы стали более изощренными — теперь они способны украсть исходные фразы (seed-фразы), что обеспечивает полный доступ к криптокошелькам пользователей.
Расширение сферы угроз сопровождается активным применением фишинга — мошеннических методов, направленных на манипуляцию и обман пользователей. В частности, злоумышленники рассылают поддельные сообщения о якобы подозрительной активности, вынуждая пользователей раскрывать свои seed-фразы.
Atomic macOS Stealer (AMOS): маскировка и утечка данных
Одним из ключевых примеров современных тактик является вредоносное ПО Atomic macOS Stealer (AMOS), которое маскируется под официальную загрузку приложения Ledger Live. Эта программа не только крадет персональные данные, но и заменяет оригинальный клиент своим вредоносным клоном, что значительно усложняет обнаружение и борьбу с угрозой.
Не менее значимым является вклад хакера по имени Родриго, который создал эффективную фишинговую стратегию в рамках своей программы Odyssey stealer. Вредоносное ПО способно обходить встроенные механизмы защиты Ledger Live, предлагая пользователям ввести исходную фразу после демонстрации поддельного сообщения о критической ошибке, сформированного на основе их имени пользователя. Данные затем передаются на сервер управления (C2).
Другой начинающий злоумышленник с псевдонимом @mentalpositive внедрил в свое ПО функцию «анти-бухгалтерия» — дополнительный уровень обмана, который усложняет выявление вредоносных действий.
Технические особенности и текущая динамика развития угроз
- Современные версии stealer ориентированы на эксфильтрацию данных, связанных с Ledger Live.
- Вредоносные программы сохраняют компактные и оптимизированные структуры, позволяющие обходить большинство средств защиты.
- В текущей стадии разработки отсутствует явная интеграция новых фишинговых механизмов, что свидетельствует о продолжающейся эволюции.
Помимо данных угроз, специалисты Jamf Threat Labs выявили еще одну вредоносную кампанию, в рамках которой использовались DMG-файлы с необнаруживаемыми двоичными файлами Mach-O. Эти файлы служат в качестве загрузчиков для скриптов утечки данных — они собирают конфиденциальную информацию из браузеров и настроек кошельков, заменяя легитимный клиент Ledger Live фишинговой версией.
AMOS stealer использует сложную методологию сбора данных, комбинируя AppleScript и Python для повышения скрытности и эффективности атаки. Среди прочего, вредоносное ПО способно автоматически завершать работу легитимного клиента Ledger Live, обеспечивая беспрепятственный доступ к системе жертвы.
Рекомендации по защите пользователей Ledger Live
Учитывая нарастающую активность кибератак на пользователей Ledger Live, крайне важно соблюдать следующие меры предосторожности:
- Загружать приложение Ledger Live исключительно с официального сайта и доверенных источников.
- Никогда не раскрывать свои seed-фразы и вводить их исключительно в официальном приложении.
- Остерегаться подозрительных сообщений и уведомлений, особенно тех, которые требуют немедленного действия или ввода конфиденциальных данных.
- Использовать комплексные меры защиты, включая антивирусное ПО и двухфакторную аутентификацию.
„Пользователям важно сохранять бдительность и помнить, что Ledger Live никогда не запросит у них исходную фразу в режиме онлайн“, — отмечают эксперты Moonlock Lab.
В условиях постоянного развития угроз кибербезопасность криптовалютных пользователей становится более сложной задачей. Только комбинированный подход, основанный на технических мерах и осознанной безопасности, поможет противостоять растущей волне атак.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Эволюция фишинга и краж в Ledger Live: угрозы 2024 года".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.