กลุ่มอาชญากรทางไซเบอร์กำลังใช้แอป Ledger ปลอมเพื่อโจมตีผู้ใช้ macOS และ digital assets ของพวกเขา โดยใช้มัลแวร์ที่พยายามขโมย Seed Phrase ที่ใช้ในการปกป้องการเข้าถึง cryptocurrency wallets

Ledger เป็น hardware wallet ที่ได้รับความนิยม ซึ่งถูกออกแบบมาเพื่อเก็บ cryptocurrency แบบ offline (cold storage) ด้วยวิธีการที่ปลอดภัย

Seed phrase หรือ recovery phrase คือชุดคำศัพท์แบบสุ่มจำนวน 12 หรือ 24 คำ ที่ช่วยให้สามารถกู้คืน digital assets ได้ หาก wallet เกิดสูญหาย หรือจำรหัสผ่านไม่ได้ ดังนั้นจึงควรเก็บไว้แบบออฟไลน์ และเป็นความลับเพื่อความปลอดภัย

ในการโจมตีลักษณะนี้ ถูกเปิดเผยโดย Moonlock Lab โดยแอปพลิเคชันที่เป็นอันตรายนี้จะปลอมตัวเป็นแอป Ledger เพื่อพยายามหลอกให้ผู้ใช้กรอกข้อมูล seed phrase ของตนลงในหน้าเว็บ phishing

Moonlock Lab ระบุว่า พวกเขาเริ่มติดตามการโจมตีเหล่านี้ตั้งแต่เดือนสิงหาคม 2024 ที่ผ่านมา ซึ่งในตอนนั้นแอปปลอมเหล่านี้สามารถขโมยได้เพียง passwords, notes และข้อมูลของ wallet บางส่วน เพื่อดูคร่าว ๆ ว่าใน wallet นั้นมี assets อะไรบ้าง แต่ข้อมูลเหล่านี้ยังไม่เพียงพอสำหรับการเข้าถึงเงินใน wallet ได้

อย่างไรก็ตาม ด้วยการอัปเดตล่าสุดนี้ ผู้ไม่หวังดีได้มุ่งเป้าไปที่การขโมย seed phrase ซึ่งหากขโมยได้สำเร็จก็จะสามารถถอนเงินทั้งหมดออกจาก wallets ของเหยื่อได้ทันที

วิวัฒนาการของแคมเปญ Ledger

ในเดือนมีนาคม Moonlock Lab ตรวจพบผู้ไม่หวังดีรายหนึ่งที่ใช้นามแฝงว่า "Rodrigo" โดยได้ทำการปล่อยมัลแวร์ขโมยข้อมูลตัวใหม่สำหรับ macOS ที่ชื่อว่า "Odyssey"

มัลแวร์ตัวใหม่นี้จะเข้าไปแทนที่แอป Ledger Live ตัวจริงบนอุปกรณ์ของเหยื่อ เพื่อทำให้การโจมตีนั้นมีประสิทธิภาพมากยิ่งขึ้น

มัลแวร์ดังกล่าวได้ฝังหน้าเว็บ phishing ไว้ภายในแอป Ledger ปลอม โดยหลอกให้เหยื่อกรอก seed phrase จำนวน 24 คำของตน เพื่อกู้คืนบัญชี หลังจากนั้นก็จะแสดงข้อความที่ระบุว่าเกิด "ข้อผิดพลาดร้ายแรง (critical error)" ปลอมนี้ขึ้นมา

Odyssey ยังสามารถขโมยชื่อผู้ใช้งานบน macOS และส่งข้อมูลทั้งหมดที่เหยื่อกรอกผ่านในหน้าเว็บ phishing ไปยังเซิร์ฟเวอร์ command-and-control (C2) ของ Rodrigo ได้อีกด้วย

ประสิทธิภาพของมัลแวร์ตัวใหม่นี้ได้รับความสนใจอย่างรวดเร็วในฟอรัมใต้ดิน ส่งผลให้เกิดการลอกเลียนแบบการโจมตี โดยเฉพาะมัลแวร์ขโมยข้อมูลที่ชื่อ AMOS ที่ได้นำคุณสมบัติที่คล้ายกันมาปรับใช้

เมื่อเดือนที่แล้ว มีการตรวจพบแคมเปญใหม่ของ AMOS ที่ใช้ไฟล์ DMG ที่ชื่อ 'JandiInstaller.