So versuchen Betrüger, Ledger-Wallet-Nutzer auf macOS auszuschen, um Kryptowährungen zu stehlen.

Nutzer von Ledger-Wallets sind Ziel einer raffinierten Phishing-Kampagne, bei der gefälschte Ledger Live-Apps für macOS eingesetzt werden.

Laut einem Bericht des Cybersicherheitsunternehmens Moonlock Lab setzen Angreifer Malware ein, die die legitime Ledger Live-Anwendung durch eine Nachahmung ersetzt, die darauf ausgelegt ist, die 24-Wort-Wiederherstellungspasswörter der Benutzer und in einigen Fällen Kryptowährungen zu stehlen.

Sobald diese Phrasen eingegeben werden, werden sie an von Angreifern kontrollierte Server übertragen, wodurch diese in der Lage sind, die Cryptocurrency wallets der Opfer sofort zu leeren.

Wie kommt es dazu?

Die Kampagne stützt sich auf eine Variante des Atomic macOS Stealer, der laut Moonlock auf über 2.800 kompromittierten Websites gefunden wurde.

Atomic Stealer, auch bekannt als AMOS (Atomic macOS Stealer), ist eine Malware-Variante, die entwickelt wurde, um macOS-Systeme zu infizieren und sensible Benutzerinformationen zu stehlen.

Es wurde erstmals Anfang 2023 beobachtet und gewann aufgrund seines Malware-as-a-Service (MaaS)-Modells schnell an Bedeutung in untergrundischen Foren, bei dem Cyberkriminelle es mieten und Angriffe ohne technisches Fachwissen einsetzen können.

Sobald ein Benutzer die Malware herunterlädt, sammelt sie nicht nur Passwörter, Notizen und Wallet-Daten, sondern ersetzt auch die echte Ledger Live-App durch einen Klon.

Die gefälschte App löst dann eine irreführende Warnmeldung über „verdächtige Aktivitäten“ aus und fordert den Benutzer auf, seinen Seed-Phrase einzugeben, um angeblich seine Wallet zu sichern.

Anfangs, so Moonlock, wurde die geklonte App nur zum Diebstahl sensibler Benutzerdaten verwendet, aber die Angreifer haben inzwischen „gelernt, Seed-Phrasen zu stehlen und die Geldbörsen ihrer Opfer zu leeren“.

Moonlock-Forscher haben mindestens vier laufende Kampagnen nachgewiesen, die diese Methode verwenden, und warnen davor, dass diese Bedrohungsakteure „immer raffinierter werden“.

Moonlock verfolgt die Malware-Kampagne seit August und hat bisher mindestens vier aktive Operationen identifiziert, die Ledger-Nutzer zum Ziel haben.

Zusätzlich zu den Bedenken stellten die Forscher fest, dass in Dark-Web-Foren zunehmend Malware mit „Anti-Ledger“-Funktionen beworben wird, obwohl in einem Fall die beworbenen Phishing-Funktionen noch nicht vollständig funktionsfähig waren.

Diese könnten sich noch in der Entwicklung befinden oder „in zukünftigen Updates verfügbar sein“, spekulierten die Forscher.

„Das ist nicht nur ein Diebstahl. Es ist ein hochkarätiger Versuch, eines der vertrauenswürdigsten Werkzeuge in der Kryptowelt zu überlisten. Und die Diebe geben nicht nach“, sagten die Moonlock-Forscher.

Weitere Angriffsvektoren, die Ledger-Nutzer zum Ziel haben

Im Laufe des letzten Jahres wurden Ledger-Nutzer mit einer Reihe von Phishing-Taktiken konfrontiert.

In einem Reddit -Beitrag vom Januar 2024 beschrieb ein Opfer, wie sein Computer unbemerkt kompromittiert wurde, was dazu führte, dass Bitcoin, Ethereum, Cardano und Litecoin im Wert von 15.000 US-Dollar gestohlen wurden, nachdem er seine Seedphrase in eine Eingabeaufforderung eingegeben hatte, von der er glaubte, dass es sich um eine Aufforderung zum Zurücksetzen auf die Werkseinstellungen in Ledger Live handelte.

Angreifer haben auch Community-Kanäle ausgenutzt. Am 11. Mai 2025 wurde ein Moderator-Account auf Ledgers offiziellem Discord-Server kompromittiert.

Der Angreifer nutzte erhöhte Berechtigungen, um Warnungen von legitimen Nutzern zu deaktivieren, und setzte einen Bot ein, der Links zu einer Phishing-Website veröffentlichte, die eine Ledger-Verifizierungsseite nachahmte.

Inzwischen verschickten Betrüger Ende April physische Briefe an Nutzer, in denen sie sich als offizielle Ledger-Kommunikation ausgaben.

Diese Briefe enthielten das Firmenlogo, eine Referenznummer und einen QR-Code, der die Empfänger aufforderte, ihren Seed-Phrase für ein angebliches „wichtiges Sicherheitsupdate“ einzugeben.

Wie bleibe ich sicher?

Moonlock riet Nutzern, ihre 24-Wort-Wiederherstellungspassphrase in keiner App, Website oder Form einzugeben, unabhängig davon, wie legitim sie erscheinen mochte.

Warnungen vor einem „kritischen Fehler“ oder Aufforderungen zur Verifizierung des Wallets waren fast immer Anzeichen eines Betrugs.

Das Unternehmen forderte die Nutzer außerdem dringend auf, Ledger Live ausschließlich aus offiziellen Quellen herunterzuladen, und warnte davor, dass ein seriöser Ledger-Dienst unter keinen Umständen jemals nach einem Wiederherstellungsausdruck fragen würde.