مستخدمو Ledger Live على أجهزة Mac معرضون للخطر: يقوم المهاجمون بتحديث تكتيكاتهم لسرقة عبارات البذور وإفراغ محافظ العملات المشفرة

تطبيقات دفتر الحسابات المزيفة تستهدف مستخدمي نظام التشغيل macOS ببرنامج خبيث جديد لسرقة العبارات البذرية

يواجه مستخدمو أجهزة Mac الذين يديرون العملات المشفرة عبر Ledger Live موجة متزايدة من هجمات البرامج الضارة المصممة لسرقة عبارات استرداد محفظتهم وإفراغ حساباتهم.

اكتشف خبراء الأمن السيبراني من Moonlock إصدارات مزيفة متطورة من تطبيق Ledger Live يتم دفعها إلى مستخدمين غير مطلعين، مما يخدعهم في الكشف عن عباراتهم الأساسية المكونة من 24 كلمة - المفاتيح الرئيسية لأصولهم المشفرة.

كيف يقوم المتسللون باستبدال تطبيق Ledger Live الأصلي؟

يبدأ الهجوم عندما يصيب برنامج ضار يسمى Atomic macOS Stealer جهاز المستخدم، غالبًا من خلال مواقع ويب مخترقة - وجده Moonlock على ما لا يقل عن 2800 موقع مخترق.

يقوم هذا البرنامج الخبيث باستبدال تطبيق Ledger Live الحقيقي بهدوء بتطبيق مزيف.

ثم يعرض التطبيق المزيف تنبيهات مقنعة، ويطالب المستخدمين بإدخال عبارات الاسترداد الخاصة بهم لحل مشكلات الأمان المفترضة.

مصدر: مختبر مونلوك

وأوضح مونلوك،

يعرض التطبيق المزيف بعد ذلك تنبيهًا مُقنعًا حول نشاط مشبوه، ويحث المستخدم على إدخال عبارة البحث الأولية. بمجرد إدخالها، تُرسل العبارة الأولية إلى خادم يتحكم به المهاجم، مما يُعرّض أصول المستخدم للخطر في ثوانٍ.

من سرقة التفاصيل إلى إفراغ المحافظ - تصاعد التكتيكات

يتتبع Moonlock هذه النسخ الخبيثة منذ أغسطس 2024.

في البداية، لم تتمكن التطبيقات المزيفة إلا من التقاط تفاصيل المحفظة وكلمات المرور، مما يمنح المجرمين لمحة عن ممتلكات الضحية ولكن لا يمنحهم وصولاً مباشرًا لنقل الأموال.

بمرور الوقت، قام المهاجمون بتحديث تكتيكاتهم للتركيز على سرقة عبارات البذور، مما يسمح لهم بالسيطرة الكاملة واستنزاف المحافظ.

وأشار مونلوك،

هذه ليست مجرد سرقة، بل هي محاولةٌ محفوفةٌ بالمخاطر للتغلب على إحدى أكثر الأدوات موثوقيةً في عالم العملات المشفرة. واللصوص لا يتراجعون.

ظهور متغيرات جديدة وهجمات مقلدة

في شهر مارس، حددت شركة Moonlock سلالة جديدة من البرامج الضارة لنظام التشغيل macOS تسمى "Odyssey"، والتي نشرها أحد المتسللين المعروفين باسم "Rodrigo".

استبدلت شركة Odyssey تطبيق Ledger Live بإصدار يحتوي على فيروسات مثل حصان طروادة، والذي يتضمن صفحة تصيد احتيالي، حيث تطلب من الضحايا إدخال عبارات مكونة من 24 كلمة بعد عرض رسالة "خطأ حرج" مزيفة.

رسالة "خطأ فادح" مزيفة. (المصدر:مختبر مونلوك )

يُطلب من المستخدمين إدخال عباراتهم الأولية المكونة من 24 كلمة (المصدر:مختبر مونلوك )

لقد ألهمت فعالية هذه الطريقة المقلدين.

وبعد فترة وجيزة، ظهر سارق AMOS بميزات مماثلة، حيث قام بتوصيل البرامج الضارة عبر ملف DMG يسمى "JandiInstaller.dmg" والذي تجاوز أمان Gatekeeper الخاص بشركة Apple.

سوف يرى الضحايا الذين يقومون بإدخال عبارة البذور الخاصة بهم في استنساخ AMOS تنبيهًا خادعًا "التطبيق تالف"، مما يسمح للمهاجمين باستخراج الأصول بهدوء.

استخدمت حملة أخرى اكتشفها Jamf نهجًا مختلفًا، من خلال تضمين صفحة تصيد عبر iframe داخل واجهة Ledger Live المزيفة، واستهداف بيانات المتصفح وتكوينات المحفظة إلى جانب سرقة العبارات الأولية.

لا تدخل عبارة البذرة الخاصة بك عبر الإنترنت أبدًا

لا ينبغي أبدًا إدخال عبارات الاسترداد في التطبيقات أو مواقع الويب.

تم تصميمها بحيث تبقى غير متصلة بالإنترنت ويتم استخدامها فقط بشكل مباشر على أجهزة Ledger المادية عند استعادة أو إعداد المحافظ.

تحث شركة Moonlock المستخدمين على تجنب تنزيل Ledger Live من مصادر غير رسمية والحذر من أي تطبيق أو نافذة منبثقة تطلب العبارة الأساسية.

جهود مايكروسوفت ضد التهديدات المماثلة

وفي خطوة ذات صلة ضد برامج التشفير الخبيثة،أعلنت شركة مايكروسوفت في 21 مايو أنها قامت بتعطيل البنية التحتية المرتبطة بـ Lumma Stealer ، وهي عملية برمجيات خبيثة مسؤولة عن سرقة كلمات المرور والمعلومات المصرفية وبيانات اعتماد التشفير.

وعملت الشركة مع جهات إنفاذ القانون الدولية لمصادرة ما يقرب من 2300 موقع إلكتروني مرتبط بشبكة لوما، مما أدى إلى تعطيل بيع وانتشار البرامج الضارة.

التهديد المتزايد من البرمجيات الخبيثة على شبكة الويب المظلمة

على الرغم من الإعلان عن بعض البرامج الضارة ذات الميزات "المضادة لـ Ledger" على منتديات الويب المظلم، فإن أبحاث Moonlock تشير إلى أن العديد منها لا تزال غير مكتملة أو قيد التطوير.

ومع ذلك، تواصل الجماعات الإجرامية تحسين أساليبها، مما يؤدي إلى تصعيد التهديد ضد المستخدمين الذين يعتمدون على Ledger Live.

حذر مونلوك:

في منتديات الويب المظلم، يتزايد الحديث حول مخططات مكافحة ليدجر. الموجة التالية بدأت تتشكل بالفعل. سيواصل المتسللون استغلال ثقة مالكي العملات المشفرة في ليدجر لايف.

يظل البقاء يقظًا واستخدام التنزيلات الرسمية لـ Ledger Live فقط وعدم مشاركة العبارات الأولية أمرًا بالغ الأهمية لحماية الأصول المشفرة في هذه البيئة المعادية.