هكذا يستهدف المحتالون مستخدمي محفظة Ledger لسرقة العملات المشفرة على نظام macOS

يتعرض مستخدمو محفظة Ledger لحملة تصيد متطورة تتضمن تطبيقات Ledger Live المزيفة على نظام macOS.

وفقًا لتقرير صادر عن شركة الأمن السيبراني Moonlock Lab، يقوم المهاجمون بنشر برامج ضارة تحل محل تطبيق Ledger Live الشرعي مع تطبيق مشابه مصمم لسرقة عبارات الاسترداد المكونة من 24 كلمة للمستخدمين، وفي بعض الحالات، الأصول المشفرة.

بمجرد إدخال هذه العبارات، يتم إرسالها إلى خوادم يسيطر عليها المهاجمون، مما يمكنهم من استنزاف محافظ العملات المشفرة الخاصة بالضحايا على الفور.

كيف يحدث ذلك؟

تعتمد الحملة على نسخة مختلفة من Atomic macOS Stealer، والتي قال Moonlock إنه تم العثور عليها في أكثر من 2800 موقع ويب مخترق.

Atomic Stealer، المعروف أيضًا باسم AMOS (Atomic macOS Stealer)، عبارة عن سلالة من البرامج الضارة مصممة لإصابة أنظمة macOS وسرقة معلومات المستخدم الحساسة.

تم رصده لأول مرة في أوائل عام 2023، واكتسب زخمًا سريعًا في المنتديات السرية بسبب نموذج البرامج الضارة كخدمة (MaaS)، حيث يمكن لمجرمي الإنترنت استئجاره ونشر الهجمات دون خبرة تقنية.

بمجرد أن يقوم المستخدم بتنزيل البرامج الضارة، فإنها لا تجمع كلمات المرور والملاحظات وبيانات المحفظة فحسب، بل تقوم أيضًا بتبديل تطبيق Ledger Live الحقيقي بنسخة مستنسخة.

ثم يقوم التطبيق المزيف بإطلاق تنبيه خادع حول "نشاط مشبوه"، مما يدفع المستخدم إلى إدخال عبارة البذور الخاصة به لتأمين محفظته على ما يبدو.

وأشار مونلوك إلى أنه في البداية، تم استخدام التطبيق المستنسخ فقط لسرقة بيانات المستخدم الحساسة، ولكن المهاجمين منذ ذلك الحين "تعلموا كيفية سرقة العبارات الأساسية وإفراغ محافظ ضحاياهم".

وقد قام باحثو Moonlock بتتبع أربع حملات على الأقل مستمرة باستخدام هذه الطريقة وحذروا من أن هؤلاء الجهات الفاعلة المهددة "تزداد ذكاءً".

تتبعت شركة Moonlock حملة البرامج الضارة منذ شهر أغسطس، وحددت حتى الآن ما لا يقل عن أربع عمليات نشطة تستهدف مستخدمي Ledger.

وبالإضافة إلى القلق، وجد الباحثون أيضًا أن منتديات الويب المظلمة تعلن بشكل متزايد عن برامج ضارة ذات قدرات "مضادة لـ Ledger"، على الرغم من أنه في إحدى الحالات، لم تكن ميزات التصيد المعلن عنها تعمل بكامل طاقتها بعد.

وتوقع الباحثون أن هذه التقنيات قد تكون لا تزال قيد التطوير أو "ستظهر في التحديثات المستقبلية".

هذه ليست مجرد سرقة، بل هي محاولةٌ محفوفةٌ بالمخاطر للتغلب على إحدى أكثر الأدوات موثوقيةً في عالم العملات المشفرة. واللصوص لا يتراجعون، كما قال باحثو مونلوك.

متجهات هجوم أخرى تستهدف مستخدمي Ledger

على مدار العام الماضي، واجه مستخدمو Ledger مجموعة من تكتيكات التصيد الاحتيالي.

في أحد منشورات Reddit من يناير 2024، وصف أحد الضحايا كيف تم اختراق جهاز الكمبيوتر الخاص به بصمت، مما أدى إلى سرقة ما قيمته 15000 دولار من Bitcoin وEthereum وCardano وLitecoin بعد إدخال عبارة البذور الخاصة بهم في ما اعتقدوا أنه موجه لإعادة ضبط المصنع في Ledger Live.

استغلّ المهاجمون أيضًا قنوات المجتمع. في 11 مايو 2025، تعرّض حساب مشرف على خادم ديسكورد الرسمي الخاص بـ Ledger للاختراق.

استخدم المهاجم أذونات مرتفعة لكتم التحذيرات من المستخدمين الشرعيين ونشر روبوتًا نشر روابط إلى موقع تصيد يحاكي صفحة التحقق من Ledger.

وفي الوقت نفسه، في أواخر شهر أبريل/نيسان، أرسل المحتالون رسائل مادية إلى المستخدمين تنتحل صفة اتصالات رسمية من Ledger.

وتضمنت هذه الرسائل العلامة التجارية للشركة، ورقم مرجعي، ورمز الاستجابة السريعة الذي يوجه المستلمين لإدخال عبارة البذور الخاصة بهم للحصول على "تحديث أمني حاسم" مزعوم.

كيفية البقاء آمنًا؟

ونصحت شركة مونلوك المستخدمين بتجنب إدخال عبارة الاسترداد المكونة من 24 كلمة في أي تطبيق أو موقع ويب أو نموذج، بغض النظر عن مدى شرعيتها.

كانت التحذيرات من "خطأ فادح" أو طلب التحقق من المحفظة دائمًا تقريبًا علامات على وجود عملية احتيال.

وحثت الشركة أيضًا المستخدمين على تنزيل Ledger Live حصريًا من المصادر الرسمية وحذرت من أن أي خدمة Ledger حقيقية لن تطلب أبدًا عبارة استرداد تحت أي ظرف من الظروف.