Cảnh báo về tội phạm mạng sử dụng ứng dụng giả mạo Ledger Live
Các tội phạm mạng hiện đang sử dụng các ứng dụng giả mạo Ledger Live để đánh cắp tài sản tiền điện tử của người dùng macOS thông qua phần mềm độc hại có khả năng thu thập cụm từ khôi phục, theo cảnh báo từ một công ty an ninh mạng. Phần mềm độc hại này thay thế ứng dụng Ledger Live hợp pháp trên thiết bị của nạn nhân và sau đó yêu cầu họ nhập cụm từ khôi phục qua một thông báo pop-up giả mạo, theo báo cáo của nhóm nghiên cứu từ Moonlock ngày 22 tháng 5.
“Ban đầu, kẻ tấn công có thể sử dụng bản sao để đánh cắp mật khẩu, ghi chú và thông tin từ ví, nhằm có cái nhìn tổng quát về tài sản trong ví. Tuy nhiên, họ không thể rút tiền từ đó,” nhóm nghiên cứu Moonlock cho biết. “Nhưng sau một năm, chúng đã phát triển khả năng đánh cắp cụm từ khôi phục và làm cạn ví của nạn nhân.”
Cách thức tấn công
Một trong những cách mà kẻ lừa đảo thay thế ứng dụng Ledger Live thật bằng bản sao giả là thông qua Atomic macOS Stealer, phần mềm độc hại được thiết kế để đánh cắp dữ liệu nhạy cảm. Moonlock cho biết chúng đã phát hiện phần mềm này đang ẩn nấp trên ít nhất 2.800 trang web bị hack.
Sau khi lây nhiễm vào thiết bị, Atomic macOS Stealer sẽ đánh cắp dữ liệu cá nhân, mật khẩu, ghi chú và thông tin ví, đồng thời thay thế ứng dụng Ledger Live thật bằng phiên bản giả.
“Ứng dụng giả sau đó hiển thị một cảnh báo thuyết phục về hoạt động đáng ngờ, yêu cầu người dùng nhập cụm từ khôi phục của họ,” nhóm Moonlock cho biết. “Một khi cụm từ khôi phục được nhập vào, nó sẽ được gửi đến một máy chủ do kẻ tấn công kiểm soát, làm lộ tài sản của người dùng chỉ trong vài giây.”
Kết luận và khuyến cáo
Chiến dịch phần mềm độc hại đã hoạt động từ tháng 8 năm trước. Moonlock đã theo dõi phần mềm này từ lúc nó phát tán một bản sao độc hại của Ledger Live và đã nhận diện ít nhất bốn chiến dịch khác nhau. Họ nhận định rằng kẻ tấn công đang ngày càng trở nên thông minh hơn.
Các tác nhân đe dọa trên dark web hiện đang cung cấp phần mềm độc hại với các tính năng được cho là “chống lại Ledger”. Tuy nhiên, một trong các ví dụ mà Moonlock kiểm tra không thực sự có đầy đủ chức năng chống lừa đảo Ledger như đã quảng cáo. Công ty suy đoán rằng những tính năng đó có thể “vẫn đang trong quá trình phát triển hoặc sẽ có trên các bản cập nhật trong tương lai.”
“Đây không chỉ đơn thuần là một vụ trộm cướp. Đây là một nỗ lực đi đến đỉnh cao để vượt qua một trong những công cụ đáng tin cậy nhất trong thế giới tiền điện tử, và những tên trộm này không từ bỏ dễ dàng,” Moonlock nhấn mạnh. “Trên các diễn đàn dark web, có sự gia tăng cuộc thảo luận xung quanh các kế hoạch chống lại Ledger. Một làn sóng mới đang hình thành và các tin tặc sẽ tiếp tục lợi dụng lòng tin của người dùng vào Ledger Live.”
Để tránh trở thành nạn nhân của các chiêu trò lừa đảo như vậy, công ty an ninh mạng khuyến cáo người dùng cần cẩn trọng với bất kỳ trang nào cảnh báo về lỗi nghiêm trọng và yêu cầu cung cấp cụm từ khôi phục 24 từ. Đồng thời, không bao giờ chia sẻ cụm từ khôi phục với bất kỳ ai, không nhập cụm từ đó trên bất kỳ trang web nào, bất kể nó có vẻ hợp lệ đến đâu, và chỉ nên tải xuống Ledger Live từ các nguồn chính thức. Ledger hiện chưa phản hồi ngay về yêu cầu bình luận từ Cointelegraph.
