Ledger Live Macユーザーにリスク：攻撃者はシードフレーズを盗み、暗号ウォレットを空にするために戦術をアップグレードする

偽のLedgerアプリが新たなシードフレーズ窃盗マルウェアでmacOSユーザーを標的に

Ledger Liveを通じて暗号通貨を管理しているMacユーザーは、ウォレットのリカバリ・フレーズを盗み、アカウントを空にすることを目的としたマルウェア攻撃の増加に直面している。

Moonlockのサイバーセキュリティ専門家は、Ledger Liveアプリの洗練された偽バージョンが、疑うことを知らないユーザーにプッシュされ、暗号資産のマスターキーである24語のシードフレーズを明らかにするように騙していることを発見した。

ハッカーはどのように純正Ledger Liveアプリを置き換えているのか

この攻撃は、Atomic macOS Stealerと呼ばれるマルウェアがユーザーのデバイスに感染することから始まる。

このマルウェアは、本物のLedger Liveアプリケーションを偽物とすり替えてしまう。

偽のアプリはその後、説得力のある警告を表示し、ユーザーにセキュリティ上の問題を解決するためにリカバリーのフレーズを入力するよう促す。

ソースムーンロック・ラボ

ムーンロックが説明した、

「偽アプリはその後、不審な動きに関する説得力のあるアラートを表示し、ユーザーにシードフレーズを入力するよう促す。一度入力されると、シードフレーズは攻撃者が管理するサーバーに送信され、ユーザーの資産が数秒で暴露される。"

細部を盗むことから財布を空にすることまで-戦術はエスカレートする

ムーンロックは2024年8月以来、これらの悪質なクローンを追跡してきた。

当初、偽アプリは財布の詳細とパスワードを取得することしかできず、犯罪者は被害者の保有資産を垣間見ることはできたが、資金を移動させる直接的なアクセスはできなかった。

時が経つにつれ、攻撃者はシードフレーズを盗むことに重点を置くように戦術をアップグレードしてきた。

ムーンロックはそう指摘した、

「これは単なる窃盗ではない。暗号の世界で最も信頼されているツールのひとつを出し抜こうとする、高難度の取り組みなのだ。窃盗団は一歩も引かない。

新たな亜種と模倣攻撃の出現

Moonlockは3月、「Rodrigo」として知られるハッカーによって展開された「Odyssey」と呼ばれるmacOSマルウェアの新種を特定した。

Odysseyは、Ledger Liveアプリをトロイの木馬化したバージョンに置き換え、フィッシングページを組み込み、偽の「重大なエラー」メッセージを表示した後、被害者に24語のシードフレーズを入力するよう求めた。

クリティカルエラー」の偽メッセージ。(ソースムーンロック・ラボ )

24語のシードフレーズを入力するよう促されるユーザー（出典）：ムーンロック・ラボ )

この方法の有効性は、模倣者たちを刺激した。

その直後、同様の機能を持つAMOSステイラーが登場し、アップルのGatekeeperセキュリティをバイパスする「JandiInstaller.dmg」という名前のDMGファイル経由でマルウェアを配信した。

被害者がAMOSクローンにシードフレーズを入力すると、「App corrupted（アプリが破損しました）」という欺瞞的なアラートが表示され、攻撃者は静かに資産を引き出すことができる。

Jamfが発見した別のキャンペーンでは、Ledger Liveの偽インターフェイスの中にiframe経由でフィッシングページを埋め込み、シードフレーズの窃盗と同時にブラウザデータとウォレット設定を狙うという、異なるアプローチを用いていた。

シードフレーズをオンラインで入力しない

リカバリーフレーズをアプリやウェブサイトに入力してはならない。

これらはオフラインで保管され、ウォレットの復元やセットアップの際に物理的なLedgerデバイスでのみ直接使用されます。

Moonlockは、非公式なソースからのLedger Liveのダウンロードを避け、シードフレーズを要求するアプリやポップアップを疑うようユーザーに促している。

同様の脅威に対するマイクロソフトの取り組み

暗号マルウェアに対抗する関連した動きとして、マイクロソフトは5月21日、Lumma Stealerに関連するインフラを停止したと発表した。 このマルウェアは、パスワード、銀行情報、暗号化された認証情報を盗み出す。

同社は国際的な法執行機関と協力し、Lummaのネットワークにリンクしている約2,300のウェブサイトを押収し、マルウェアの販売と拡散を妨害した。

拡大するダークウェブ・マルウェアの脅威

いわゆる "アンチレジャー "機能を持ついくつかのマルウェアがダークウェブのフォーラムで宣伝されているにもかかわらず、Moonlockの調査によると、その多くが未完成または開発中のままだという。

それでも、犯罪グループは手口を洗練させ続け、Ledger Liveに依存しているユーザーに対する脅威をエスカレートさせている。

ムーンロックは警告した：

"ダークウェブのフォーラムでは、反レジャー・スキームに関するおしゃべりが増えている。次の波はすでに始まっている。ハッカーたちは、暗号所有者がLedger Liveに寄せる信頼を悪用し続けるだろう。"

警戒を怠らず、Ledger Liveの公式ダウンロードのみを使用し、シードフレーズを決して共有しないことが、この敵対的な環境で暗号資産を保護するために重要であることに変わりはない。