Campanhas de cibercrime estão utilizando aplicativos falsos da Ledger para mirar em usuários de macOS e seus ativos digitais, implantando malware que tenta roubar frases-semente que protegem o acesso a carteiras de criptomoedas digitais.
A Ledger é uma carteira baseada em hardware popularmente utilizada para armazenar criptomoedas offline (cold storage) de maneira segura.
Uma frase-semente ou frase de recuperação é um conjunto de 12 ou 24 palavras aleatórias que permite recuperar os ativos digitais caso a carteira seja perdida ou a senha de acesso esquecida.
Assim, deve ser armazenada offline e de forma privada.
Nesses ataques destacados em um relatório do Moonlock Lab, o aplicativo malicioso se faz passar pelo aplicativo da Ledger na tentativa de induzir o usuário a digitar sua frase-semente em uma página de phishing.
O Moonlock Lab diz que vem rastreando esses ataques desde agosto de 2024, quando os clones do aplicativo podiam apenas "roubar senhas, notas e detalhes da carteira para obter uma visão dos ativos da carteira".
Essas informações, porém, não seriam suficientes para acessar os fundos.
Com a atualização recente focando no roubo da frase-semente, os cibercriminosos podem esvaziar as carteiras das vítimas.
Em março, o Moonlock Lab identificou um ator de ameaças usando o alias 'Rodrigo' implantando um novo stealer para macOS chamado 'Odyssey.'
O novo malware substitui o aplicativo legítimo Ledger Live no dispositivo da vítima para tornar o ataque mais eficaz.
O malware embutiu uma página de phishing dentro de um aplicativo falso da Ledger solicitando que a vítima insira sua frase-semente de 24 palavras para recuperar sua conta após exibir uma mensagem falsa de "erro crítico".
O Odyssey também pode roubar nomes de usuário do macOS e exfiltrar todos os dados fornecidos pelos campos de phishing para o servidor de comando e controle (C2) do Rodrigo.
A eficácia dessa nova peça de malware rapidamente chamou a atenção em fóruns subterrâneos, provocando ataques imitadores pelo stealer AMOS que implementou recursos semelhantes.
No mês passado, uma nova campanha do AMOS foi identificada usando um arquivo DMG chamado 'JandiInstaller.dmg', que burlou o Gatekeeper para instalar um app clonado trojanizado do Ledger Live que exibia telas de phishing ao estilo Rodrigo.
Vítimas enganadas pelo truque e que digitaram sua frase-semente de 24 palavras no AMOS receberam uma mensagem enganosa de "Aplicativo corrompido" para diminuir a suspeita e permitir que os atacantes tivessem tempo suficiente para saquear os ativos.
Na mesma época, um ator de ameaça separado usando o pseudônimo '@mentalpositive' começou a anunciar um módulo "anti-Ledger" nos fóruns da dark web, embora o Moonlock não tenha encontrado versões funcionais dele.
Este mês, pesquisadores da Jamf, uma empresa que fornece às organizações software para gerenciar dispositivos da Apple, descobriram outra campanha onde um binário empacotado pelo PyInstaller em um arquivo DMG baixava uma página de phishing carregada via iframe em uma interface falsa do Ledger Live para roubar as frases-semente dos usuários.
Semelhante à campanha do stealer AMOS, os ataques descobertos pela Jamf seguem uma abordagem híbrida, mirando em dados de navegadores, configurações de carteiras "quentes" e informações do sistema, juntamente com phishing direcionado à Ledger.
Para manter suas carteiras Ledger seguras, faça o download do aplicativo Ledger Live apenas do site oficial e verifique sempre antes de digitar sua frase-semente, o que deve acontecer apenas quando perder o acesso à carteira física.
Você só precisa usar a frase-semente quando estiver restaurando sua carteira ou configurando um novo dispositivo.
Mesmo assim, a frase é inserida no dispositivo físico da Ledger, e não no aplicativo ou em qualquer site.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...