Злоупотреба с доверие и компрометирани портфейли

Нова мащабна измама с крипто активи показа колко лесно дори утвърдени платформи могат да бъдат използвани за разпространение на злонамерен софтуер. Фалшиво приложение, представящо се за Ledger Live, е било публикувано в Apple App Store за macOS и е довело до загуби от приблизително 9.5 милиона долара, засегнали около 50 потребители само за няколко дни.

Как работи атаката

Жертвите са били подведени да изтеглят приложението и да въведат своите seed/recovery фрази – най-критичният елемент за достъп до крипто портфейл. След това атакуващите получават пълен контрол и прехвърлят средствата към собствени адреси.

Според блокчейн анализатора ZachXBT, средствата са били разпределяни през множество адреси в различни блокчейн мрежи, включително:

• Bitcoin
• Ethereum
• Tron
• Solana
• Ripple

Пране на средства чрез централизирани услуги

Откраднатите активи са били „изпрани“ чрез над 150 депозитни адреса в KuCoin, свързани с миксираща услуга, известна като „AudiA6“. Този тип услуги позволяват прикриване на произхода на средствата срещу високи такси.

Конкретни загуби и засегнати лица

Разследването разкрива три особено тежки случая:

• $3.23 милиона
• $2.08 милиона
• $1.95 милиона

Музикантът G. Love също е сред жертвите, губейки 5.9 BTC (около $430,000) след инсталиране на приложението.

Как е било допуснато в App Store

Фалшивото приложение е публикувано от акаунт с име „Leva Heal Limited“, който няма връзка с официалния разработчик на Ledger. Допълнително, атакуващите са се опитали да изглеждат легитимни чрез:

• Бързи „обновления“ на версиите (от 1.0 до 5.0 за две седмици)
• Фалшива история на развитието на приложението

След множество сигнали от потребители, Apple е премахнала приложението, но щетите вече са били нанесени.

Реакция и ограничаване на щетите

От KuCoin съобщават, че са замразили свързаните акаунти, но мярката е временна – до 20 април, освен ако органите на реда не изискат удължаване.

Повтарящ се модел на атака

Важно е да се подчертае, че официалното приложение Ledger Live за macOS не се предлага в App Store, а само чрез сайта на Ledger. Тази „празнина“ е била експлоатирана и преди – включително през 2023 г., когато подобна атака в Microsoft Store доведе до загуби от $768,000.

Как да се предпазите

Никога не въвеждайте seed фразата си в приложение или сайт, освен при първоначално възстановяване на портфейл в официален софтуер.

Допълнителни препоръки:

• Изтегляйте софтуер само от официални сайтове, не от магазини за приложения
• Проверявайте разработчика и историята на приложението
• Използвайте хардуерни портфейли и допълнителни защити
• Бъдете особено внимателни при искания за чувствителна информация

Случаят подчертава критичен проблем в екосистемата – дори платформи с висока степен на доверие могат да бъдат използвани като канал за атака. Комбинацията от социално инженерство и фалшиви приложения остава един от най-ефективните методи за кражба на крипто активи.