Según Cointelegraph, los ciberdelincuentes están implementando aplicaciones falsas de Ledger Live para comprometer las tenencias de criptomonedas de los usuarios de macOS a través de malware diseñado para robar frases semilla. Una empresa de ciberseguridad, Moonlock, informó el 22 de mayo que el malware reemplaza a la aplicación auténtica Ledger Live en los dispositivos de las víctimas, lo que hace que los usuarios ingresen sus frases iniciales a través de un mensaje emergente engañoso.
Qué es Ledger Live Crypto Wallet
Lo primero es entender para qué sirve la app que ha sido comprometida. Ledger Live Crypto Wallet es una aplicación de billetera multicripto y el acceso a la Web3 para proteger miles de monedas y NFTs
Cómo actúa el malware
Los ciberdelincuentes han realizado ingeniería inversa en una de las aplicaciones de monedero frío (o más comúnmente conocidas como «cold wallets») más populares, Ledger Live, y han escrito un código bastante sofisticado que les permite eliminar Ledger Live del dispositivo de la víctima y reemplazarlo con una versión falsa de la aplicación diseñada para robar las semillas. Todo esto lo hacen tras ejecutar scripts maliciosos e instalar ladrones de macOS.
Según Moonlock, así es como funciona esta nueva técnica de ciberataque:
- Los usuarios de la billetera fría de la aplicación Ledger Live son blanco de ciberdelincuentes. Lo más probable es que esto se haga mediante phishing selectivo, una variante del phishing en la que el delincuente primero investiga a las posibles víctimas, averiguando quiénes son, a qué sector pertenecen, sus intereses, etc.
- El malware se envía a la víctima potencial, generalmente por correo electrónico, SMS, canales de redes sociales u otros canales de phishing.
- El malware instala scripts maliciosos en Mac, evade su seguridad e instala un ladrón. En esta etapa, los atacantes buscan datos del navegador, contraseñas, credenciales de billeteras activas, archivos, etc.
- A continuación, los atacantes instalan una aplicación falsa Ledger Live y eliminan la aplicación real Ledger Live.
- La aplicación falsa Ledger Live muestra una advertencia en pantalla. Esta notificación intenta engañar al usuario mostrando el mensaje «Ledger Live detectó un error crítico. Se requieren frases semilla para recuperar la cuenta».
- La víctima introduce las frases semilla, probablemente con prisa y preocupada por perder los fondos de su billetera fría. Y, sin más, el malware envía las frases semilla a un servidor C2 controlado por el atacante. Con ellas, el atacante obtiene el control total de la billetera de la víctima.
En otras palabras, los atacantes utilizaron la aplicación clonada para acceder a contraseñas, notas y detalles de la cartera, obteniendo información sobre los activos de la billetera sin la capacidad de extraer fondos. Sin embargo, en un año, han avanzado sus técnicas para robar frases de semillas y agotar las carteras de las víctimas.
Moonlock Lab informó que un único actor de amenazas fue el catalizador de esta nueva técnica dirigida a cold wallets. El actor usa el nombre de usuario @Rodrigo4 en XXS Forums, un conocido foro de hackers. Según Moonlock, Rodrigo4 no es nuevo en la ciudad. Participó en el desarrollo del Atomic Stealer (AMOS), Poseidon y el Odyssey Stealer.
Noticias relacionadas
Moonlock ha identificado a este ladrón en al menos 2.800 sitios web comprometidos.
El equipo de Moonlock ha comentado:
«Inicialmente, los atacantes podían usar el clon para robar contraseñas, notas y detalles de la cartera para echar un vistazo a los activos de la billetera, pero no tenían forma de extraer los fondos. Ahora, en un año, han aprendido a robar frases iniciales y a vaciar las carteras de sus víctimas.
Está dirigido a todos los que tienen billeteras de criptomonedas, y no solo LedgerLive, sino también muchas otras como Electrum, Exodus, Atomic, Coinomi, etc. «.
Moonlock ha estado monitoreando esta campaña de malware, que ha estado activa desde agosto, señalando al menos cuatro campañas en curso. La empresa cree que los hackers se están volviendo cada vez más sofisticados. En la dark web, los actores de amenazas están comercializando malware con características «anti-Ledger«. Sin embargo, Moonlock observó que un ejemplo carecía de la funcionalidad completa de phishing anti-Ledger anunciada, lo que sugiere que estas características aún podrían estar en desarrollo o próximas en futuras actualizaciones. Moonlock advierte que esto no es simplemente un robo, sino un esfuerzo calculado para burlar a una de las herramientas más confiables en el mundo de las criptomonedas. Las discusiones sobre los esquemas anti-Ledger se están intensificando en los foros de la web oscura, lo que indica que la próxima ola de ataques ya se está formando.
Cómo protegerse del malware basado en Atomic macOS Stealer
Para protegerse contra tales estafas de malware, Moonlock aconseja a los usuarios que sean cautelosos con cualquier página que advierta de un error crítico y solicite una frase de recuperación de 24 palabras. Los usuarios nunca deben compartir sus frases iniciales con nadie ni ingresarlas en ningún sitio web, independientemente de su legitimidad, y solo deben descargar Ledger Live de su fuente oficial.
