Campanhas de cibercrime estão a visar utilizadores de macOS e os seus ativos digitais através de aplicações Ledger falsificadas. Estas apps maliciosas implementam malware que tenta roubar as frases de recuperação (seed phrases), essenciais para proteger o acesso a carteiras de criptomoedas.
A Ledger é uma popular carteira baseada em hardware, concebida para armazenar criptomoedas offline (cold storage) de forma segura. A frase de recuperação, ou frase semente, consiste num conjunto de 12 ou 24 palavras aleatórias que permite recuperar os ativos digitais caso a carteira física seja perdida ou a palavra-passe de acesso esquecida. Por este motivo, deve ser sempre mantida offline e em privado.
Atenção redobrada: O esquema para aceder às suas criptomoedas
Nestes ataques, destacados num relatório do Moonlock Lab, a aplicação maliciosa faz-se passar pela app oficial da Ledger. O objetivo é induzir o utilizador a introduzir a sua frase de recuperação numa página de phishing.
Segundo o Moonlock Lab (que pode ser acompanhado em moonlock.com/blog), estes ataques têm sido monitorizados desde agosto do ano passado. Nessa altura, os clones da aplicação conseguiam apenas "roubar palavras-passe, notas e detalhes da carteira para ter uma ideia dos ativos", informação que, no entanto, não seria suficiente para aceder aos fundos.
Com a recente atualização, que se foca no roubo da frase de recuperação, os cibercriminosos conseguem agora esvaziar as carteiras das vítimas.
A evolução do malware: De simples roubo de dados a esvaziar carteiras
Em março, o Moonlock Lab identificou um agente de ameaças com o alias 'Rodrigo', que implementou um novo stealer para macOS denominado 'Odyssey'. Este novo malware substitui a aplicação legítima Ledger Live no dispositivo da vítima para tornar o ataque mais eficaz.
O malware integrava uma página de phishing dentro da falsa app Ledger, solicitando à vítima que inserisse a sua frase de recuperação de 24 palavras para recuperar a conta, após exibir uma mensagem fictícia de "erro crítico". O 'Odyssey' consegue também roubar nomes de utilizador do macOS e exfiltrar todos os dados fornecidos através dos campos de phishing para o servidor de comando e controlo (C2) de 'Rodrigo'.
A eficácia deste novo malware rapidamente ganhou notoriedade em fóruns underground, levando a ataques de imitação pelo stealer AMOS, que implementou funcionalidades semelhantes. No mês passado, foi identificada uma nova campanha AMOS utilizando um ficheiro DMG chamado 'JandiInstaller.dmg'. Este ficheiro contornava o Gatekeeper para instalar um clone trojanizado da app Ledger Live que exibia ecrãs de phishing ao estilo dos de 'Rodrigo'.
As vítimas que caíam no logro e inseriam a sua frase de recuperação de 24 palavras no AMOS recebiam uma mensagem enganosa de "App corrompida", para diminuir suspeitas e permitir aos atacantes tempo suficiente para pilhar os ativos.
Por volta da mesma altura, um outro agente de ameaças, usando o identificador '@mentalpositive', começou a publicitar um módulo "anti-Ledger" em fóruns da dark web, embora o Moonlock Lab não tenha conseguido encontrar versões funcionais do mesmo.
Outras ameaças e campanhas identificadas
Este mês, investigadores da Jamf (empresa que fornece software de gestão de dispositivos Apple a organizações, com blog em jamf.com/blog), descobriram outra campanha. Nesta, um binário empacotado com PyInstaller num ficheiro DMG descarregava uma página de phishing, carregada via iframe numa interface falsa da Ledger Live, para roubar as frases de recuperação dos utilizadores.
Semelhante à campanha do AMOS stealer, os ataques descobertos pela Jamf seguem uma abordagem híbrida, visando dados de navegadores, configurações de carteiras "quentes" (hot wallets) e informações do sistema, juntamente com o phishing direcionado à Ledger.
Mantenha a sua Ledger segura: Dicas essenciais
Para manter as suas carteiras Ledger seguras, siga estas recomendações:
- Descarregue a aplicação Ledger Live exclusivamente a partir do site oficial.
- Verifique sempre antes de introduzir a sua frase de recuperação. Lembre-se que esta ação só deve ocorrer quando está a perder o acesso à sua carteira física.
- A frase de recuperação só é necessária ao restaurar a sua carteira ou ao configurar um novo dispositivo. Mesmo nessas situações, a frase é inserida diretamente no dispositivo físico Ledger, e nunca na aplicação ou em qualquer website.
Nenhum comentário
Seja o primeiro!