کلاهبرداری جدید از کاربران مک با اپلیکیشنهای جعلی Ledger
کارزارهای مجرمان سایبری با استفاده از اپلیکیشنهای جعلی Ledger، کاربران سیستمعامل macOS را هدف قرار داده و با توزیع بدافزاری، تلاش میکنند عبارات بازیابی (Seed Phrase) کاربران را که کلید دسترسی به کیفپولهای ارز دیجیتال آنها محسوب میشود، سرقت کنند.
Ledger یکی از کیفپولهای سختافزاری محبوب برای نگهداری امن ارزهای دیجیتال در حالت آفلاین است.
عبارت بازیابی یا Seed، مجموعهای از ۱۲ یا ۲۴ واژه تصادفی است که به کاربر این امکان را میدهد تا در صورت گم شدن کیفپول یا فراموشی رمز عبور، دارایی دیجیتال خود را بازیابی کند. این عبارت باید بهصورت خصوصی و آفلاین نگهداری شود، چرا که در صورت افشای آن، تمام داراییهای دیجیتال در معرض خطر قرار خواهند گرفت.
تحول در حملات جعلی Ledger: سرقت مستقیم عبارت بازیابی کاربران macOS
طبق گزارشی از آزمایشگاه Moonlock، در این نوع حملات، اپلیکیشنهای مخرب با جعل ظاهر اپلیکیشن رسمی Ledger، کاربران را فریب میدهند تا عبارت بازیابی (Seed Phrase) خود را در یک صفحهی فیشینگ وارد کنند.
Moonlock Lab اعلام کرده است که از اوت ۲۰۲۴ این حملات را زیر نظر داشته و در آن زمان، نسخههای جعلی این اپلیکیشن تنها قادر به سرقت رمزهای عبور، یادداشتها و جزئیات کیف پول بودند تا صرفاً تصویری کلی از داراییهای دیجیتال کاربران به دست آورند. با این حال، این اطلاعات برای دسترسی به موجودی کیف پول کافی نبود.
در نسخههای جدیدتر، تمرکز مهاجمان بر سرقت عبارت بازیابی قرار گرفته که به آنها امکان میدهد کل دارایی قربانی را برداشت کنند.
پیشرفت کمپینهای مخرب Ledger
در ماه مارس، Moonlock Lab فعالیت یک عامل تهدید با نام مستعار “Rodrigo” را شناسایی کرد که بدافزار جدیدی برای macOS با نام “Odyssey” را منتشر کرده بود.
این بدافزار با جایگزین کردن اپلیکیشن رسمی Ledger Live در دستگاه قربانی، حمله را مؤثرتر میکند. درون این اپلیکیشن جعلی، یک صفحه فیشینگ تعبیه شده است که از کاربر میخواهد برای بازیابی حساب، عبارت ۲۴ کلمهای بازیابی را وارد کند. این درخواست پس از نمایش یک پیام خطای جعلی با عنوان “خطای بحرانی” به کاربر ارائه میشود.
گسترش بدافزار Odyssey و الگوبرداری سایر مهاجمان
بدافزار Odyssey همچنین قادر است نام کاربری دستگاههای macOS را سرقت کرده و تمامی دادههایی را که از طریق فیلدهای فیشینگ وارد میشود، به سرور فرمان و کنترل (C2) متعلق به “Rodrigo” ارسال کند.
موفقیت و کارایی این بدافزار بهسرعت در انجمنهای زیرزمینی سایبری مورد توجه قرار گرفت و باعث ظهور حملاتی مشابه توسط بدافزاری با نام AMOS Stealer شد که قابلیتهای مشابهی را پیادهسازی کرده است.
در ماه گذشته، یک کمپین جدید مرتبط با AMOS شناسایی شد که از فایل نصبی با پسوند DMG و نام ‘JandiInstaller.dmg’ استفاده میکرد. این فایل با دور زدن مکانیزم امنیتی Gatekeeper در macOS، اقدام به نصب نسخهای آلوده و جعلی از اپلیکیشن Ledger Live میکرد که صفحات فیشینگ مشابه با سبک حملات Rodrigo را به نمایش میگذاشت.
فریب کاربران و پیچیدهتر شدن روشهای حمله
کاربرانی که فریب حملات AMOS را خورده و عبارت ۲۴ کلمهای بازیابی خود را در فیلد فیشینگ وارد میکردند، با پیامی گمراهکننده تحت عنوان “اپلیکیشن خراب شده است” (App corrupted) مواجه میشدند. این پیام بهمنظور کاهش شک و تردید قربانی و فراهمکردن زمان کافی برای مهاجم جهت انتقال داراییها نمایش داده میشد.
در همان بازه زمانی، یک عامل تهدید دیگر با نام کاربری @mentalpositive در انجمنهای دارکوب، ماژولی موسوم به “anti-Ledger” را تبلیغ میکرد. با این حال، طبق اعلام Moonlock، هیچ نمونه عملیاتی از این ابزار در دسترس نبود.
حمله جدید با استفاده از PyInstaller و تکنیک iframe
در ماه جاری، پژوهشگران شرکت Jamf، که در زمینه ارائه نرمافزارهای مدیریت دستگاههای اپل به سازمانها فعالیت دارد، کمپین دیگری را شناسایی کردند. در این کمپین، یک فایل باینری فشردهشده با PyInstaller در قالب فایل نصبی DMG توزیع میشد. این فایل پس از اجرا، صفحهای فیشینگ را از طریق iframe در رابط جعلی Ledger Live بارگذاری میکرد تا عبارت بازیابی کاربران را سرقت کند.
این حمله نیز مانند کمپین AMOS، رویکردی ترکیبی را دنبال میکند و علاوه بر حملات هدفمند به کیفپول Ledger، دادههای مرورگر، پیکربندی کیفپولهای گرم (hot wallets) و اطلاعات سیستمی را نیز هدف قرار میدهد.
توصیههای امنیتی برای حفاظت از کیفپول Ledger
برای ایمن نگهداشتن کیفپول Ledger خود، تنها اپلیکیشن Ledger Live را از وبسایت رسمی این شرکت دانلود کنید و پیش از وارد کردن عبارت بازیابی (Seed Phrase)، از صحت محیط کاربری و اصالت نرمافزار اطمینان حاصل نمایید.
عبارت بازیابی فقط در شرایط خاص مانند بازیابی کیفپول یا راهاندازی دستگاه جدید باید مورد استفاده قرار گیرد. حتی در این مواقع نیز، این عبارت صرفاً باید از طریق خود دستگاه سختافزاری Ledger وارد شود، نه درون اپلیکیشن و نه در هیچ وبسایتی.
هرگونه درخواست برای وارد کردن عبارت بازیابی در محیط نرمافزاری یا آنلاین، نشانهای قوی از فیشینگ و حمله سایبری است.