Νέο κύμα κακόβουλων επιθέσεων πλήττει χρήστες macOS με στόχο τα ψηφιακά τους πορτοφόλια. Οι hackers χρησιμοποιούν ψεύτικες εφαρμογές Ledger που αποσκοπούν στην κλοπή των seed phrases που προστατεύουν τα crypto wallets των χρηστών macOS.
Το Ledger είναι ένα από τα πιο δημοφιλή hardware-based wallets, που έχει σχεδιαστεί για την αποθήκευση κρυπτονομισμάτων εκτός σύνδεσης (cold storage) και με ασφαλή τρόπο.
Τα seed (ή recovery) phrases, που στοχεύουν οι hackers, περιλαμβάνουν 12 ή 24 λέξεις που χρησιμοποιούνται για την ανάκτηση των περιουσιακών στοιχείων σε περίπτωση που ο χρήστης χάσει το wallet ή ξεχάσει τον κωδικό του. Αυτή η φράση είναι αυστηρά ιδιωτική και δεν πρέπει ποτέ να εισάγεται σε εφαρμογές ή ιστότοπους.
Δείτε επίσης: Garantex crypto exchange: Επέστρεψε ως Grinex;
Εξελιγμένες επιθέσεις phishing με ψεύτικες εφαρμογές Ledger
Σύμφωνα με το Moonlock Lab, οι επιθέσεις εναντίον των χρηστών macOS ξεκίνησαν τον Αύγουστο του 2024 και έκτοτε έχουν εξελιχθεί σημαντικά. Αρχικά, οι ψεύτικες εφαρμογές Ledger μπορούσαν μόνο να κλέψουν κάποια στοιχεία για να πάρουν μια γεύση από τα στοιχεία του πορτοφολιού. Ωστόσο, αυτές οι πληροφορίες δεν θα ήταν αρκετές για την πρόσβαση στα κεφάλαια. Με την πρόσφατη ενημέρωση που εστιάζει στην κλοπή των seed phrases, οι εγκληματίες του κυβερνοχώρου μπορούν να αδειάσουν τα πορτοφόλια των θυμάτων.
Ένα από τα πιο ανησυχητικά περιστατικά αφορά έναν επιτιθέμενο με το ψευδώνυμο “Rodrigo“, ο οποίος ανέπτυξε το «Odyssey», ένα κακόβουλο λογισμικό για macOS που αντικαθιστά τη νόμιμη εφαρμογή Ledger Live στη συσκευή του θύματος για να κάνει την επίθεση πιο αποτελεσματική. Η ψεύτικη εφαρμογή ζητά από τους χρήστες να εισαγάγουν τη φράση 24 λέξεων μετά από ένα πλαστό μήνυμα σφάλματος. Το Odyssey μπορεί επίσης να συλλέξει ονόματα χρήστη και να στείλει τα δεδομένα αυτά σε απομακρυσμένο server.
Αντίστοιχες επιθέσεις και παραλλαγές λογισμικού
Η αποτελεσματικότητα αυτής της τακτικής κέρδισε γρήγορα την προσοχή σε υπόγεια φόρουμ, προκαλώντας αντίστοιχες επιθέσεις, από το AMOS stealer, που εφάρμοσε παρόμοια χαρακτηριστικά. Μια πρόσφατη καμπάνια χρησιμοποιούσε ένα DMG file με το όνομα «JandiInstaller.dmg» και παρέκαμψε το macOS Gatekeeper για να εγκαταστήσει μια ψεύτικη εφαρμογή Ledger Live, που εμφάνιζε παρόμοιες σελίδες σφάλματος με αυτές του Rodrigo. Στη συνέχεια, η εφαρμογή ζητούσε το seed phrase, και εμφάνιζε το μήνυμα “Η εφαρμογή είναι κατεστραμμένη” για να κατευνάσει τις υποψίες.
Δείτε επίσης: Κατάχρηση του remote control feature του Zoom για κλοπή crypto
Εν τω μεταξύ, ένας ακόμη παράγοντας απειλής με το όνομα «@mentalpositive» φέρεται να διαφημίζει «anti-Ledger» εργαλεία σε dark web φόρουμ, αν και δεν έχει επιβεβαιωθεί λειτουργική έκδοση αυτών των εργαλείων.
Νέα εκστρατεία
Πριν από μερικές ημέρες, οι ερευνητές της Jamf αποκάλυψαν μια ακόμη καμπάνια, όπου ένα PyInstaller-packed binary σε ένα DMG file κατέβασε μια phishing σελίδα μέσα σε ένα fake Ledger Live interface του Ledger Live. Η επίθεση στόχευε ταυτόχρονα τα seed phrases, τα hot wallets, τα cookies προγράμματος περιήγησης και τα δεδομένα συστήματος.
Πώς να προστατευτείτε
Οι ειδικοί συνιστούν να κατεβάζετε την εφαρμογή Ledger Live αποκλειστικά από τον επίσημο ιστότοπο, και να εισάγετε το seed phrase μόνο όταν είναι απαραίτητο, δηλαδή όταν έχετε χάσει την πρόσβαση στο physical wallet. Η φράση χρησιμοποιείται μόνο σε περιπτώσεις ανάκτησης ή αρχικής ρύθμισης συσκευής — ποτέ ως μέρος λειτουργίας εφαρμογής. Ακόμη και τότε, η φράση εισάγεται στη φυσική συσκευή Ledger και όχι στην εφαρμογή ή σε οποιονδήποτε ιστότοπο.
Αν βλέπετε μήνυμα “σφάλματος”, ΜΗΝ βιαστείτε. Πολλές επιθέσεις εμφανίζουν ψεύτικα σφάλματα (“Critical Error”, “Η εφαρμογή είναι κατεστραμμένη”) για να τραβήξουν την προσοχή σας, να σας αγχώσουν και να σας κάνουν να δράσετε χωρίς να το σκεφτείτε καλά. Μην ακολουθείτε οδηγίες που εμφανίζονται μετά από τέτοια μηνύματα. Πάρτε χρόνο και ελέγξτε τον επίσημο ιστότοπο / εφαρμογή για να δείτε αν πρέπει να κάνετε οποιαδήποτε αλλαγή.
Μην εμπιστεύεστε αυτόματα οποιονδήποτε υποστηρίζει ότι παρέχει “υποστήριξη Ledger” στα social. Ενημερωθείτε για ό,τι συμβαίνει από τον επίσημο ιστότοπο της Ledger.
Δείτε επίσης: Κακόβουλες επεκτάσεις VSCode μολύνουν τα Windows με cryptominer
Τέλος, χρησιμοποιείστε αξιόπιστα λογισμικά προστασίας από ιούς, ώστε αν κάποιο malware καταφέρει τελικά να εισχωρήσει στη συσκευή σας, να εντοπιστεί άμεσα!
Η έξαρση τέτοιων επιθέσεων φανερώνει ότι οι κυβερνοεγκληματίες επενδύουν σε έξυπνες τεχνικές κοινωνικής μηχανικής και phishing, προκειμένου να παρακάμψουν ακόμα και τις πιο ασφαλείς τεχνολογίες κρυπτονομισμάτων. Ο έλεγχος ταυτότητας, η προσοχή στις πηγές λογισμικού και η αυστηρή προστασία των φράσεων ανάκτησης παραμένουν το τελευταίο ανάχωμα των χρηστών απέναντι σε τέτοιες απειλές.
Πηγή: www.bleepingcomputer.com
