Các chiến dịch tội phạm mạng mới đây đang nhắm vào người dùng macOS thông qua các ứng dụng giả mạo Ledger, nhằm đánh cắp cụm từ khôi phục (seed phrase) — yếu tố quan trọng giúp bảo vệ và truy cập ví tiền mã hóa.
Ledger là gì?
Ledger là một loại ví phần cứng phổ biến, cho phép người dùng lưu trữ tài sản mã hóa ngoại tuyến (cold storage), hạn chế tối đa rủi ro bị tấn công mạng.
Seed phrase là tập hợp gồm 12 hoặc 24 từ ngẫu nhiên, dùng để khôi phục ví khi người dùng mất thiết bị hoặc quên mật khẩu. Chính vì vậy, cụm từ này cần được bảo quản bí mật và tuyệt đối không nhập trên bất kỳ trang web hay ứng dụng nào trừ khi khôi phục ví qua thiết bị Ledger chính hãng.
Chiêu trò tấn công ngày càng tinh vi
Theo báo cáo từ nhóm nghiên cứu Moonlock Lab, kể từ tháng 8/2024, các ứng dụng giả mạo Ledger bắt đầu xuất hiện, với mục tiêu ban đầu là lấy cắp mật khẩu, ghi chú và thông tin ví. Tuy nhiên, các thông tin đó chưa đủ để truy cập vào tài sản.
Gần đây, các biến thể mới đã được nâng cấp, cho phép đánh cắp trực tiếp seed phrase, dẫn đến việc rút sạch tiền mã hóa trong ví của nạn nhân.
Mã độc “Odyssey” và chuỗi tấn công liên hoàn
Vào tháng 3, Moonlock phát hiện một hacker có biệt danh Rodrigo phát tán mã độc Odyssey giả mạo ứng dụng Ledger Live trên macOS.
Ứng dụng độc hại này hiển thị thông báo lỗi giả mạo (“critical error”) và yêu cầu người dùng nhập cụm từ khôi phục để “khôi phục tài khoản”. Khi người dùng nhập vào, dữ liệu này lập tức bị gửi về máy chủ điều khiển (C2) của kẻ tấn công.
Mã độc này còn có thể đánh cắp tên người dùng macOS và các thông tin hệ thống liên quan.
Sự lan rộng của chiến dịch
Cùng thời điểm, mã độc AMOS cũng triển khai chiến dịch tương tự, sử dụng tập tin cài đặt có tên JandiInstaller.dmg, vượt qua cơ chế bảo vệ Gatekeeper của macOS để cài ứng dụng Ledger giả mạo.
Người dùng nếu nhập cụm từ khôi phục vào ứng dụng này sẽ thấy thông báo “App corrupted” (Ứng dụng bị hỏng), nhằm đánh lạc hướng và câu giờ để hacker đánh cắp tài sản.
Một chiến dịch khác do hacker có biệt danh @mentalpositive thực hiện, được phát hiện rao bán mô-đun “chống Ledger” trên các diễn đàn dark web, tuy nhiên Moonlock chưa tìm thấy bản hoạt động thực tế nào.
Chiến dịch mới: Phishing qua iframe
Tháng này, các nhà nghiên cứu tại Jamf phát hiện một chiến dịch mới sử dụng tệp DMG có chứa mã độc đóng gói bằng PyInstaller. Khi cài đặt, phần mềm sẽ tải một trang phishing nhúng iframe bên trong giao diện giả mạo Ledger Live để đánh cắp seed phrase của người dùng.
Tương tự chiến dịch của AMOS, cuộc tấn công này kết hợp cả kỹ thuật phishing và đánh cắp dữ liệu ví nóng, thông tin trình duyệt và cấu hình hệ thống.
Cách bảo vệ ví Ledger của bạn
- Chỉ tải ứng dụng Ledger Live từ trang chính thức: https://www.ledger.com
- Không bao giờ nhập seed phrase vào ứng dụng, trang web hay máy tính.
- Seed phrase chỉ nhập trên thiết bị Ledger vật lý, khi khôi phục ví hoặc cài đặt thiết bị mới.
- Nếu thấy bất kỳ yêu cầu nào nhập seed phrase trên máy tính – đó là một dấu hiệu của phishing!