새로운 시드 문구 도용 멀웨어로 macOS 사용자를 노리는 가짜 원장 앱
레저 라이브를 통해 암호화폐를 관리하는 Mac 사용자들은 지갑 복구 문구를 탈취하고 계정을 비우기 위해 고안된 멀웨어 공격에 직면하고 있습니다.
문록의 사이버 보안 전문가들은 의심하지 않는 사용자들을 속여 암호화폐 자산의 마스터 키인 24단어 시드 문구를 공개하도록 유도하는 정교한 가짜 버전의 레저 라이브 앱을 발견했습니다.
해커들은 어떻게 정품 레저 라이브 앱을 대체하고 있나요?
이 공격은 주로 손상된 웹사이트를 통해 Atomic macOS Stealer라는 멀웨어가 사용자의 디바이스를 감염시키면서 시작되는데, Moonlock은 최소 2,800개의 해킹된 사이트에서 이 멀웨어를 발견했습니다.
이 멀웨어는 실제 레저 라이브 애플리케이션을 위조된 애플리케이션으로 조용히 교체합니다.
그런 다음 가짜 앱은 그럴듯한 경고를 표시하여 사용자에게 보안 문제를 해결하기 위해 복구 문구를 입력하라는 메시지를 표시합니다.
출처:문락 연구소
문록은 이렇게 설명했습니다,
"그런 다음 가짜 앱은 의심스러운 활동에 대한 그럴듯한 경고를 표시하여 사용자에게 시드 문구를 입력하라는 메시지를 표시합니다. 입력된 시드 문구는 공격자가 제어하는 서버로 전송되어 몇 초 만에 사용자의 자산이 노출됩니다."
세부 정보 탈취에서 지갑 비우기까지 - 전술의 확장
문록은 2024년 8월부터 이러한 악성 클론을 추적하고 있습니다.
처음에는 가짜 앱이 지갑 세부 정보와 비밀번호만 캡처할 수 있어 범죄자가 피해자의 보유 자산을 엿볼 수는 있지만 자금을 이동하는 데 직접 액세스할 수는 없었습니다.
시간이 지남에 따라 공격자들은 전술을 업그레이드하여 시드 문구를 훔치는 데 집중함으로써 완전한 통제권을 확보하고 지갑을 탈취할 수 있게 되었습니다.
문록은 이렇게 말했습니다,
"이것은 단순한 절도가 아닙니다. 암호화폐 세계에서 가장 신뢰할 수 있는 도구 중 하나를 능가하려는 고도의 노력입니다. 그리고 도둑들은 물러서지 않을 것입니다."
새로운 변종 및 모방 공격의 등장
지난 3월, 문록은 '로드리고'라는 해커가 배포한 '오디세이'라는 새로운 변종 macOS 멀웨어를 발견했습니다.
오디세이는 가짜 "심각한 오류" 메시지를 표시한 후 피해자에게 24단어 시드 문구를 입력하도록 요청하는 피싱 페이지가 포함된 트로이 목마 버전으로 Ledger Live 앱을 교체했습니다.
가짜 '심각한 오류' 메시지. (출처:문락 연구소 )
24단어 시드 문구를 입력하라는 메시지가 표시되는 사용자(출처:문락 연구소 )
이 방법의 효과는 모방자들에게 영감을 주었습니다.
얼마 지나지 않아 유사한 기능을 갖춘 AMOS 스틸러가 등장하여 'JandiInstaller.dmg'라는 DMG 파일을 통해 멀웨어를 전달하며 Apple의 게이트키퍼 보안을 우회했습니다.
피해자가 AMOS 클론에 시드 문구를 입력하면 "앱이 손상되었습니다"라는 기만적인 경고가 표시되어 공격자가 조용히 자산을 추출할 수 있습니다.
Jamf가 발견한 또 다른 캠페인은 다른 접근 방식을 사용했는데, 가짜 레저 라이브 인터페이스에 iframe을 통해 피싱 페이지를 삽입하여 브라우저 데이터와 지갑 구성을 노리고 시드 문구 도용을 시도했습니다.
온라인에서 시드 문구 입력 금지
앱이나 웹사이트에 복구 문구를 입력해서는 안 됩니다.
지갑을 복원하거나 설정할 때만 오프라인 상태로 유지하고 실제 레저 장치에서 직접 사용하도록 되어 있습니다.
문록은 사용자들에게 비공식 출처에서 Ledger Live를 다운로드하지 말고, 시드 문구를 요구하는 앱이나 팝업이 있으면 의심할 것을 촉구합니다.
유사한 위협에 대한 Microsoft의 노력
이와 관련하여 암호화 멀웨어에 대한 움직임도 있습니다,마이크로소프트는 5월 21일 루마 스틸러와 연결된 인프라를 중단했다고 발표했습니다. 는 비밀번호, 은행 정보 및 암호화 자격 증명을 훔치는 멀웨어입니다.
이 회사는 국제 사법 기관과 협력하여 Lumma의 네트워크에 연결된 약 2,300개의 웹사이트를 압수하여 멀웨어의 판매 및 확산을 차단했습니다.
다크 웹 멀웨어의 증가하는 위협
소위 '안티 레저' 기능을 갖춘 일부 멀웨어가 다크웹 포럼에서 광고되고 있지만, 문록의 연구에 따르면 많은 멀웨어가 아직 불완전하거나 개발 중인 것으로 나타났습니다.
그럼에도 불구하고 범죄 집단은 계속해서 전술을 개선하여 Ledger Live를 사용하는 사용자에 대한 위협을 확대하고 있습니다.
문록은 경고했습니다:
"다크웹 포럼에서 반레저 사기에 대한 논의가 활발해지고 있습니다. 다음 물결은 이미 구체화되고 있습니다. 해커들은 암호화폐 소유자들이 레저 라이브에 두는 신뢰를 계속해서 악용할 것입니다."
경계를 늦추지 않고, 공식 레저 라이브 다운로드만 이용하며, 시드 문구를 공유하지 않는 것이 오늘날과 같은 적대적인 환경에서 암호화폐 자산을 보호하는 데 있어 여전히 중요합니다.