Apple App Store上の26個の悪質なアプリが、Metamask、Coinbase、Trust Wallet、OneKeyなどの人気ウォレットになりすまし、リカバリフレーズやシードフレーズを盗んで暗号資産を抜き出しています。
脅威アクターは、タイポスクワッティングと偽のブランディングを含む複数の方法を使用して、中国のユーザーを騙してダウンロードさせました。
このようなアプリは国内で制限されているため、攻撃者はそれらをゲームまたは電卓アプリとして公開し、ユーザーに国内の禁止を回避するためのトリックとして認識されることを期待していたと思われます。
Kasperskyの研究者によると、26個の偽アプリはすべて同じキャンペーンの一部であり、FakeWalletと名付けられ、昨年から実行されているSparkKitty作戦と関連付けられています。
開かれると、アプリはユーザーを暗号サービスの正規ポータルのように見えるように設計されたフィッシングページにリダイレクトします。
これらのサイトは、被害者にiOSプロビジョニングプロファイルを使用してトロイの木馬化されたウォレットアプリをダウンロードさせます。iOSプロビジョニングプロファイルは正規のエンタープライズ機能ですが、デバイスにマルウェアをサイドロードするために悪用されています。同じ技術がSparkKittyでも観察されました。
トロイの木馬化されたアプリには、ウォレットのセットアップまたはリカバリー画面中にニーモニックフレーズをインターセプトし、RSAとBase64で暗号化して攻撃者に送信する追加のコードが含まれています。
Ledgerのようなコールドウォレットの場合、攻撃者は偽のセキュリティ検証画面を通じてユーザーにシードフレーズを手動で入力させるアプリ内フィッシングプロンプトに依存しています。
正規のウォレット所有者によってのみ保有されるこれらのフレーズは、新しいデバイスへのウォレットのポーティング/リカバリー用に意図されており、さらなる確認やパスワードは必要ありません。
したがって、脅威アクターはこれらを使用して被害者のウォレットを自分のデバイスで復元し、資金を回収する可能性なくウォレットを空にすることができます。
Mythosが発見した99%はまだパッチが当たっていません。
AIは4つのゼロデイを1つのエクスプロイトにチェーンして、レンダラーとOSサンドボックスの両方をバイパスしました。新しいエクスプロイトの波が来ています。
Autonomous Validation Summit(5月12日・14日)では、自律的でコンテキストリッチな検証がどのように悪用可能なものを見つけ、コントロールが機能することを証明し、修復ループを閉じるかをご覧ください。
