يحذر خبراء الأمن السيبراني من أن مجرمي الإنترنت باتوا يستخدمون تطبيقات Ledger Live مزيفة لاستهداف مستخدمي macOS وسرقة عباراتهم الاسترجاعية (Seed Phrases) لتفريغ محافظهم المشفرة.

وذكر فريق شركة Moonlock في تقرير صدر بتاريخ 22 مايو أن البرمجية الخبيثة تستبدل تطبيق Ledger Live الأصلي على جهاز الضحية بنسخة مزيفة، ثم تظهر رسالة منبثقة تحث المستخدم على إدخال عبارته السرية.

وقال الفريق:
"في البداية، كان بوسع المهاجمين استخدام النسخة المقلّدة لسرقة كلمات المرور والملاحظات وتفاصيل المحافظ للحصول على لمحة عن الأصول، لكن دون إمكانية سحب الأموال."
"أما الآن، وبعد عام واحد فقط، تعلموا كيفية سرقة العبارات السرية وتفريغ محافظ ضحاياهم بالكامل."

ومن الوسائل التي يعتمدها المحتالون لاستبدال التطبيق الأصلي هو فيروس Atomic macOS Stealer، المصمم لسرقة البيانات الحساسة، والذي تم رصده - بحسب Moonlock - في ما لا يقل عن 2,800 موقع إلكتروني مخترق.

المصدر: Moonlock 

بعد إصابة الجهاز، يقوم الفيروس بسرقة البيانات الشخصية وكلمات المرور والملاحظات وتفاصيل المحافظ، ثم يستبدل تطبيق Ledger Live الحقيقي بنسخة مزيفة.

ويضيف التقرير:


"يعرض التطبيق المزيف بعد ذلك تنبيهًا مقنعًا حول وجود نشاط مريب، ويطلب من المستخدم إدخال عبارته السرية. وبمجرد إدخالها، يتم إرسال العبارة إلى خادم يتحكم فيه المهاجم، مما يعرض أصول المستخدم للخطر خلال ثوانٍ."

حملة مستمرة منذ أغسطس

تتابع Moonlock منذ أغسطس الماضي حملة خبيثة تنشر نسخة مقلّدة من تطبيق Ledger Live، وتؤكد أن هناك أربع حملات نشطة على الأقل، وأن المخترقين "يواصلون تطوير أساليبهم."

وأضافت أن هناك عروضًا على الويب المظلم لبرمجيات خبيثة مخصصة لاستهداف مستخدمي Ledger، تحت مسمى أدوات "مضادة لـ Ledger". إلا أن بعض هذه الأدوات لا تزال غير مكتملة، وربما تكون خصائص التصيّد "قيد التطوير" أو ستُضاف في التحديثات القادمة.

قالت Moonlock إن قراصنة الإنترنت يقدّمون برمجيات خبيثة لصالح لصوص محتملين لسرقة محافظ مستخدمي Ledger. المصدر: Moonlock

وقالت Moonlock:
"هذا لا يُعد مجرد سرقة، بل محاولة عالية المخاطر للتحايل على أحد أكثر الأدوات موثوقية في عالم العملات المشفّرة. والمخترقون لن يتراجعوا."
"المحادثات حول أدوات استهداف Ledger على المنتديات المظلمة في تزايد. والموجة القادمة بدأت تتشكّل بالفعل."

لمنع الوقوع ضحية لمثل هذه الهجمات، توصي Moonlock المستخدمين بالحذر الشديد من أي صفحة تدّعي وجود "خطأ حرج" وتطلب إدخال العبارة الاسترجاعية المكونة من 24 كلمة.

كما تنصح بعدم مشاركة العبارة السرية مع أي جهة كانت، وعدم إدخالها على أي موقع إلكتروني مهما بدا موثوقًا، والحرص على تحميل تطبيق Ledger Live فقط من الموقع الرسمي.