가짜 Ledger Live 앱들이 암호화폐를 훔치고 있어요

사이버 범죄자들이 가짜 Ledger Live 앱과 피싱 알림을 사용하여 시드 구문을 훔치고, 플랫폼 전반에 걸쳐 암호화폐 지갑을 묵묵히 털어가는 악성 소프트웨어를 배포하고 있습니다.

사이버 범죄자들이 가짜 Ledger Live 버전을 사용하여 Ledger 지갑에서 암호화폐를 관리하는 앱 – 유저들의 시드 구문(Seed Phrases)을 훔쳐 자금을 털어가고 있습니다. Moonlock Lab은 2024년 8월 이후로 최소한 네 번의 활발한 악성 소프트웨어 캠페인이 피싱 공격으로 Ledger Live를 대상으로 하고 있다고 밝혔습니다.

초기에는, 가짜 앱들은 노트와 지갑 데이터만 훔칠 수 있었습니다. 하지만 오늘날, 이들은 사용자들을 속여 24단어 시드 구문(seed phrase)을 내놓게 합니다. Atomic macOS Stealer (AMOS)에서 볼 수 있는 한 가지 전략은 사용자들에게 “자신의 시드 구문을 확인”하라는 가짜 보안 알림을 보내는 것입니다. 한번 입력되면, 그 정보는 해커들에게 직접 전송됩니다.

이런 변화는 ‘오디세이’라는 맬웨어를 만든 해커 로드리고로부터 시작되었습니다. Moonlock에 따르면, 2025년 3월 이후로 오디세이는 “중요한 오류”를 수정하기 위해 사용자들에게 시드 입력을 요구하는 피싱 페이지를 통해 Ledger Live의 방어를 우회하였습니다.

로드리고의 방법이 연쇄 반응을 일으켰습니다. 또 다른 해커인 @mentalpositive는 이제 그들의 악성 소프트웨어에 “안티-Ledger” 모듈이 포함되어 있다고 주장했습니다. 하지만 그들의 코드 두 가지 예시에서는 주요한 변화가 없었으며, 오직 새로운 서버 주소와 “JENYA”에서 “SHELLS”로의 이름 변경만 있었습니다.

한편, Jamf Threat Labs에 의해 발견된 새로운 캠페인은 감지할 수 없는 Mac 설치 프로그램을 사용하여 가짜 Ledger Live 인터페이스를 로드하는 것을 포함하고 있습니다. 이 도용 프로그램은 파이썬과 애플스크립트의 혼합을 사용하여 비밀번호, 파일, 그리고 지갑 데이터를 무소음으로 빼앗아갑니다.

AMOS 역시 로드리고의 피싱 방식을 채택했습니다. 피해자들은 Apple의 보안 검사를 우회하는 터미널 파일을 실행하도록 속아 넘어가며, 이를 통해 악성 소프트웨어가 실행됩니다. 만약 이것이 가상 시스템이 아닌 실제 시스템에서 탐지되면, Binance와 TonKeeper에서의 데이터를 포함한 도난당한 파일과 자격증명을 원격 서버로 전송합니다.

이런 방식을 복사하는 해커들이 늘어나면서, 암호화폐 사용자들은 앱이나 팝업에 시드 구문을 입력하는 것을 피하라는 경고가 내려지고 있습니다.