Macの偽Ledgerアプリがシードフレーズを盗み、暗号資産ウォレットから資金を流出させる

By XkeyacwpmPhotography0 comments

Contents

  1. Introduction
  2. Main Content
  3. Discussion
  4. Conclusion
Macの偽Ledgerアプリがシードフレーズを盗み、暗号資産ウォレットから資金を流出させる

2分で読めます
| ニュース

Ledger Liveアプリ

サイバー犯罪者は、Ledger Live アプリの偽バージョンを使用して、Mac ユーザーを騙してシードフレーズを明かさせ、暗号通貨を盗んでいます。

Moonlock Lab と Jamf の調査によると、これらのフィッシング キャンペーンは 2024 年 8 月以降、より巧妙化しており、基本的なデータ窃盗からウォレットの完全な流出操作に進化しています。

暗号資産をオフラインで安全に保管するために設計されたハードウェアウォレットであるLedgerは、ウォレットの復元に12語または24語のシードフレーズを使用します。このシードフレーズは常に非公開でオフラインで保持されます。

マルウェアの進化:データ窃盗から資金流出まで

これらの偽Ledgerアプリの初期バージョンでは、パスワードとウォレットのメタデータしか取得できませんでした。現在では、OdysseyやAMOSなどのマルウェアは、偽アプリ内に巧妙なフィッシング画面を組み込み、ユーザーにシードフレーズを入力させています。入力されたシードフレーズは攻撃者のサーバーに流出し、保存されているすべての資産を盗み出すことができます。

2025年3月、Moonlock Labは「Rodrigo」という名の脅威アクターによって作成されたmacOSスティーラー「Odyssey」を特定しました。このマルウェアは、正規のLedger Liveアプリを置き換え、偽の「重大なエラー」を表示して、ユーザーにフィッシングフォームにシードフレーズを入力させようとします。入力されたデータは、特定のURL構造を介してコマンドアンドコントロール(C2)サーバーに送信されます。

レジャーライブジェニュインチェック
LEDGER LIVE シードフレーズウィンドウ | 画像提供: Moonlock LAB

模倣者と拡大するキャンペーン

JandiInstaller ウィンドウ
JandiInstaller ウィンドウ | 画像提供: Moonlock LAB

ロドリゴの戦術はすぐに注目を集めました。AMOSなどの他のマルウェアファミリーも同様の手法を採用しています。最近のAMOS攻撃では、JandiInstaller.dmgmacOS Gatekeeperを回避し、トロイの木馬化されたLedger LiveをインストールするDMGファイル( )が使用されました。復元フレーズを入力した被害者には、攻撃者がウォレットから資金を奪う間、偽の「アプリが破損しています」というメッセージが表示されました。

一方、 @mentalpositiveというダークウェブユーザーは、自身のマルウェアに「アンチLedger」機能を搭載していると主張しました。Moonlockは分析したサンプルに完全なフィッシング機能を発見していませんが、「Ledger Live」やコマンド&コントロールドメインを参照する文字列から、開発が進行中であることが示唆されています。

Jamfが特定した新たな攻撃ベクトル

2025年5月、Jamfの研究者は、PyInstallerで圧縮されたDMGファイルを使用する新たなキャンペーンを発見しました。このキャンペーンは、偽のLedger Liveウィンドウ内のiframeを介してフィッシングインターフェースを読み込み、AppleScriptとPythonスクリプトを組み合わせてシードフレーズ、ブラウザデータ、ウォレット設定、システム情報を収集することで、検出を回避しながら最大限のデータ窃取を実現します。

4つのアクティブなキャンペーンとダークウェブアクティビティの増加

現在、Ledger ユーザーを標的としたアクティブなマルウェア キャンペーンが 4 つ存在します。

  • ロドリゴの『オデッセイ』
  • メンタルポジティブの開発中のスティーラー
  • AMOSベースのクローンJandiInstaller.dmg
  • Jamf が文書化した iframe で読み込まれたフィッシング ページを使ったキャンペーン

これらはすべて、アプリやウェブブラウザ経由のシードフレーズ入力を必要としない Ledger の物理的なセキュリティ モデルを回避するためにフィッシングに依存しています。

財布を守る方法

  • シードフレーズはアプリやウェブサイトに入力しないでください。セットアップ時または復元時には、Ledgerの物理デバイスのみを使用してください。
  • Ledger Live は、Ledger の公式サイトからのみダウンロードしてください
  • シードフレーズを求める「重大なエラー」または「不審なアクティビティ」のポップアップは無視してください。
  • Moonlock Lab や Jamf などの信頼できるセキュリティ研究者をフォローして最新情報を入手してください。

要点:この新たなフィッシング攻撃の波は、ハッカーがコールドウォレットへの侵入に従来のマルウェア戦術に頼らなくなったことを示しています。彼らはユーザーの信頼を悪用することに重点を置いています。シードフレーズはLedgerデバイス以外の場所に入力しないでください。また、ソフトウェアのソースを必ず確認してください。

Knowledge Network

Worth Exploring