กลุ่มอาชญากรทางไซเบอร์กำลังใช้แอป Ledger ปลอมเพื่อโจมตีผู้ใช้ macOS และ digital assets ของพวกเขา โดยใช้มัลแวร์ที่พยายามขโมย Seed Phrase ที่ใช้ในการปกป้องการเข้าถึง cryptocurrency wallets
Ledger เป็น hardware wallet ที่ได้รับความนิยม ซึ่งถูกออกแบบมาเพื่อเก็บ cryptocurrency แบบ offline (cold storage) ด้วยวิธีการที่ปลอดภัย
Seed phrase หรือ recovery phrase คือชุดคำศัพท์แบบสุ่มจำนวน 12 หรือ 24 คำ ที่ช่วยให้สามารถกู้คืน digital assets ได้ หาก wallet เกิดสูญหาย หรือจำรหัสผ่านไม่ได้ ดังนั้นจึงควรเก็บไว้แบบออฟไลน์ และเป็นความลับเพื่อความปลอดภัย
ในการโจมตีลักษณะนี้ ถูกเปิดเผยโดย Moonlock Lab โดยแอปพลิเคชันที่เป็นอันตรายนี้จะปลอมตัวเป็นแอป Ledger เพื่อพยายามหลอกให้ผู้ใช้กรอกข้อมูล seed phrase ของตนลงในหน้าเว็บ phishing
Moonlock Lab ระบุว่า พวกเขาเริ่มติดตามการโจมตีเหล่านี้ตั้งแต่เดือนสิงหาคม 2024 ที่ผ่านมา ซึ่งในตอนนั้นแอปปลอมเหล่านี้สามารถขโมยได้เพียง passwords, notes และข้อมูลของ wallet บางส่วน เพื่อดูคร่าว ๆ ว่าใน wallet นั้นมี assets อะไรบ้าง แต่ข้อมูลเหล่านี้ยังไม่เพียงพอสำหรับการเข้าถึงเงินใน wallet ได้
อย่างไรก็ตาม ด้วยการอัปเดตล่าสุดนี้ ผู้ไม่หวังดีได้มุ่งเป้าไปที่การขโมย seed phrase ซึ่งหากขโมยได้สำเร็จก็จะสามารถถอนเงินทั้งหมดออกจาก wallets ของเหยื่อได้ทันที
วิวัฒนาการของแคมเปญ Ledger
ในเดือนมีนาคม Moonlock Lab ตรวจพบผู้ไม่หวังดีรายหนึ่งที่ใช้นามแฝงว่า "Rodrigo" โดยได้ทำการปล่อยมัลแวร์ขโมยข้อมูลตัวใหม่สำหรับ macOS ที่ชื่อว่า "Odyssey"
มัลแวร์ตัวใหม่นี้จะเข้าไปแทนที่แอป Ledger Live ตัวจริงบนอุปกรณ์ของเหยื่อ เพื่อทำให้การโจมตีนั้นมีประสิทธิภาพมากยิ่งขึ้น
มัลแวร์ดังกล่าวได้ฝังหน้าเว็บ phishing ไว้ภายในแอป Ledger ปลอม โดยหลอกให้เหยื่อกรอก seed phrase จำนวน 24 คำของตน เพื่อกู้คืนบัญชี หลังจากนั้นก็จะแสดงข้อความที่ระบุว่าเกิด "ข้อผิดพลาดร้ายแรง (critical error)" ปลอมนี้ขึ้นมา
Odyssey ยังสามารถขโมยชื่อผู้ใช้งานบน macOS และส่งข้อมูลทั้งหมดที่เหยื่อกรอกผ่านในหน้าเว็บ phishing ไปยังเซิร์ฟเวอร์ command-and-control (C2) ของ Rodrigo ได้อีกด้วย
ประสิทธิภาพของมัลแวร์ตัวใหม่นี้ได้รับความสนใจอย่างรวดเร็วในฟอรัมใต้ดิน ส่งผลให้เกิดการลอกเลียนแบบการโจมตี โดยเฉพาะมัลแวร์ขโมยข้อมูลที่ชื่อ AMOS ที่ได้นำคุณสมบัติที่คล้ายกันมาปรับใช้
เมื่อเดือนที่แล้ว มีการตรวจพบแคมเปญใหม่ของ AMOS ที่ใช้ไฟล์ DMG ที่ชื่อ 'JandiInstaller.dmg' มีสามารถในการหลบเลี่ยงระบบรักษาความปลอดภัยอย่าง Gatekeeper ของ macOS ได้ และติดตั้งแอป Ledger Live ปลอมที่ถูกฝัง trojan ไว้ พร้อมแสดงหน้าเว็บ phishing ในรูปแบบเดียวกับที่ Rodrigo ใช้
เหยื่อที่หลงกลและกรอก seed phrase จำนวน 24 คำของตนลงในแอป AMOS จะได้รับข้อความหลอกลวงว่า "แอปมีความเสียหาย (App corrupted)" เพื่อไม่ให้เกิดข้อสงสัย และเปิดโอกาสให้ผู้ไม่หวังดีมีเวลามากพอในการขโมย assets
ในช่วงเวลาเดียวกัน ผู้ไม่หวังดีอีกรายหนึ่งที่ใช้นามแฝงว่า '@mentalpositive' เริ่มโฆษณาโมดูล 'anti-Ledger' บนฟอรัมใน dark web แม้ว่า Moonlock จะยังไม่พบเวอร์ชันที่ใช้งานได้จริงของโมดูลนี้ก็ตาม
ในเดือนนี้ นักวิจัยจาก Jamf เป็นบริษัทที่ให้บริการซอฟต์แวร์สำหรับการจัดการอุปกรณ์ของ Apple แก่องค์กรต่าง ๆ ได้เปิดเผยแคมเปญอีกหนึ่งรายการที่ภายในไฟล์ DMG มีไบนารีที่ถูกบรรจุด้วย PyInstaller เมื่อถูกรันแล้วจะทำการดาวน์โหลดหน้าเว็บ phishing ผ่าน iframe ที่ถูกฝังอยู่ในอินเทอร์เฟซของแอป Ledger Live ปลอม เพื่อขโมย seed phrases ของผู้ใช้
เช่นเดียวกับแคมเปญมัลแวร์ขโมยข้อมูลของ AMOS การโจมตีที่ Jamf ตรวจพบก็ใช้วิธีแบบผสมผสาน โดยพุ่งเป้าไปที่ข้อมูลของเบราว์เซอร์, การตั้งค่าของ "hot" wallet และข้อมูลระบบ รวมถึงการโจมตีแบบ phishing ที่มุ่งเป้าไปยังผู้ใช้ Ledger โดยเฉพาะ
เพื่อความปลอดภัยของ Ledger wallets ควรดาวน์โหลดแอป Ledger Live จากเว็บไซต์ทางการเท่านั้น และควรตรวจสอบให้รอบคอบก่อนทุกครั้งที่จะกรอก seed phrase ของคุณ ซึ่งควรทำเฉพาะในกรณีที่สูญเสียการเข้าถึง physical wallet เท่านั้น
ความจำเป็นต้องใช้ seed phrase ก็ต่อเมื่อกำลังกู้คืน wallet ของคุณ หรือกำลังตั้งค่าอุปกรณ์ใหม่ของคุณเท่านั้น และถึงแม้ในกรณีดังกล่าว seed phrase นี้จะต้องถูกกรอกผ่านบนตัวอุปกรณ์ Ledger จริงเท่านั้น ไม่ใช่ผ่านแอปพลิเคชันหรือเว็บไซต์ใด ๆ ทั้งสิ้น
ที่มา : bleepingcomputer
You must be logged in to post a comment.