黑客使用假冒的分类帐应用程序窃取Mac用户的种子短语

网络犯罪活动正在使用假冒的账本应用程序，通过部署恶意软件，试图窃取保护数字加密货币钱包访问权限的种子短语，来瞄准macOS用户及其数字资产。

Ledger是一种流行的基于硬件的钱包，旨在以安全的方式离线存储加密货币（冷存储）。

种子或恢复短语是一组12或24个随机单词，可以在钱包丢失或忘记访问密码时恢复数字资产。因此，它意味着离线存储和私有存储。

在Moonlock Lab报告中强调的这种攻击中，恶意应用程序模仿Ledger应用程序，试图欺骗用户在网络钓鱼页面上输入他们的种子短语。

Moonlock实验室表示，自去年8月（2024年8月）以来，他们一直在追踪这些攻击，当时克隆的应用程序只能“窃取密码、笔记和钱包细节，以窥探钱包的资产”。不过，这些信息还不足以获得资金。

随着最近更新的重点是窃取种子短语，网络罪犯可以掏空受害者的钱包。

分类账战役的演变

今年3月，Moonlock Lab发现一个化名为“Rodrigo”的威胁行为者正在部署一个名为“Odyssey”的新macOS窃取程序。

新的恶意软件取代了受害者设备上的合法Ledger Live应用程序，使攻击更加有效。

该恶意软件在一个假冒的账本应用程序中嵌入了一个钓鱼页面，要求受害者在显示虚假的“严重错误”信息后输入24个单词的种子短语来恢复他们的账户。

种子短语钓鱼页面

Odyssey还可以窃取macOS用户名，并将通过网络钓鱼字段提供的所有数据泄露给Rodrigo的命令与控制（C2）服务器。

这种新型恶意软件的有效性迅速引起了地下论坛的关注，促使AMOS窃取者实施类似功能的模仿攻击。

上个月，使用名为“JandiInstaller”的DMG文件发现了一个新的AMOS活动。它绕过了Gatekeeper，安装了一个木马化的Ledger Live克隆应用程序，该应用程序显示罗德里戈风格的网络钓鱼屏幕。

AMOS恶意软件安装提示

上当受骗的受害者将他们的24个单词的种子短语输入到AMOS中，就会得到一个欺骗性的“应用程序已损坏”信息，以降低怀疑，让攻击者有足够的时间窃取资产。

大约在同一时间，另一个化名为“@mentalpositive”的威胁行为者开始在暗网论坛上宣传一个“反账本”模块，尽管Moonlock无法找到它的有效版本。

本月，Jamf（一家为组织提供管理苹果设备软件的公司）的研究人员发现了另一个攻击活动，其中DMG文件中包含pyinstaller包的二进制文件下载了一个通过假Ledger Live界面中的iframe加载的网络钓鱼页面，以窃取用户的种子短语。

与AMOS窃取活动类似，Jamf发现的攻击采用混合方法，针对浏览器数据，“热”钱包配置和系统信息以及有针对性的分类账网络钓鱼。

恶意软件的代码

为了保证你的Ledger钱包的安全，只从官方网站下载Ledger Live应用程序，并且在输入种子短语之前总是检查一下，只有在失去对实体钱包的访问权限时才应该这样做。

你只需要在恢复钱包或设置新设备时使用种子短语。即便如此，这句话也会输入到实体账本设备上，而不是在应用程序或任何网站上。

原文始发于微信公众号（HackSee黑望）：黑客使用假冒的分类帐应用程序窃取Mac用户的种子短语