Sådan målretter svindlere Ledger-wallet-brugere for at stjæle krypto på macOS

Brugere af Ledger-wallets er mål for en sofistikeret phishing-kampagne, der involverer falske Ledger Live-apps på macOS.

Ifølge en rapport fra cybersikkerhedsfirmaet Moonlock Lab implementerer angribere malware, der erstatter den legitime Ledger Live-applikation med en lookalike, der er designet til at stjæle brugernes 24-ords gendannelsesfraser og i nogle tilfælde kryptoaktiver.

Når disse sætninger er indtastet, sendes de til angriberkontrollerede servere, hvilket gør det muligt for dem øjeblikkeligt at tømme ofrenes kryptovaluta wallets.

Hvordan sker det?

Kampagnen er baseret på en variant af Atomic macOS Stealer, som Moonlock sagde er blevet fundet på over 2.800 kompromitterede websteder.

Atomic Stealer, også kendt som AMOS (Atomic macOS Stealer), er en malware-stamme designet til at inficere macOS-systemer og stjæle følsomme brugeroplysninger.

Den blev først observeret i begyndelsen af ​​2023 og vandt hurtigt indpas på undergrundsfora på grund af sin malware-as-a-service (MaaS)-model, hvor cyberkriminelle kan leje den og implementere angreb uden teknisk ekspertise.

Når en bruger downloader malwaren, indsamler den ikke kun adgangskoder, noter og tegnebogsdata, men bytter også den rigtige Ledger Live-app med en klon.

Den falske app udløser derefter en vildledende advarsel om "mistænkelig aktivitet", der beder brugeren om at indtaste deres seed-frase for angiveligt at sikre deres tegnebog.

Moonlock bemærkede i starten, at den klonede app kun blev brugt til at stjæle følsomme brugerdata, men angribere har siden "lært at stjæle startfraser og tømme deres ofres tegnebøger".

Forskere fra Moonlock har sporet mindst fire igangværende kampagner ved hjælp af denne metode og advaret om, at disse trusselsaktører "kun bliver klogere".

Moonlock har sporet malwarekampagnen siden august og har indtil videre identificeret mindst fire aktive operationer rettet mod Ledger-brugere.

Forskerne fandt også, at dark web-fora i stigende grad reklamerer for malware med "anti-Ledger"-funktioner, selvom de annoncerede phishing-funktioner i ét tilfælde endnu ikke var fuldt operationelle.

Disse kunne stadig være under udvikling eller "komme i fremtidige opdateringer", spekulerede forskerne.

"Dette er ikke bare et tyveri. Det er en indsats med høje indsatser for at overliste et af de mest betroede værktøjer i kryptoverdenen. Og tyvene giver ikke op," sagde Moonlock-forskere.

Andre angrebsvektorer rettet mod Ledger-brugere

I løbet af det seneste år har Ledger-brugere stået over for en række phishing-taktikker.

I et Reddit -opslag fra januar 2024 beskrev et offer, hvordan deres computer i al hemmelighed blev kompromitteret, hvilket førte til, at Bitcoin, Ethereum, Cardano og Litecoin til en værdi af 15.000 dollars blev stjålet, efter at de havde indtastet deres seed-frase i det, de troede var en fabriksnulstillingsprompt i Ledger Live.

Angribere har også udnyttet community-kanaler. Den 11. maj 2025 blev en moderatorkonto på Ledgers officielle Discord-server kompromitteret.

Angriberen brugte forhøjede tilladelser til at ignorere advarsler fra legitime brugere og implementerede en bot, der postede links til et phishing-websted, der efterlignede en Ledger-bekræftelsesside.

I mellemtiden sendte svindlere i slutningen af ​​april fysiske breve til brugere, der udgiver sig for at være officiel Ledger-kommunikation.

Disse breve indeholdt virksomhedens branding, et referencenummer og en QR-kode, der instruerede modtagerne i at indtaste deres seed-sætning for en angivelig "kritisk sikkerhedsopdatering".

Hvordan forbliver man sikker?

Moonlock rådede brugerne til at undgå at indtaste deres 24-ords gendannelsesfrase i nogen app, hjemmeside eller formular, uanset hvor legitim den så ud.

Advarsel om en "kritisk fejl" eller anmodning om tegnebogsbekræftelse var næsten altid tegn på svindel.

Firmaet opfordrede også brugerne til udelukkende at downloade Ledger Live fra officielle kilder og advarede om, at ingen ægte Ledger-tjeneste nogensinde ville bede om en gendannelsesfrase under nogen omstændigheder.