Así es como los estafadores están atacando a los usuarios de Ledger Wallet para robar criptomonedas en macOS.

Los usuarios de Ledger Wallet son el objetivo de una campaña de phishing sofisticada que involucra aplicaciones falsas de Ledger Live en macOS.

Según un informe de la empresa de ciberseguridad Moonlock Lab, los atacantes están implementando malware que reemplaza la aplicación legítima Ledger Live con una aplicación similar diseñada para robar las frases de recuperación de 24 palabras de los usuarios y, en algunos casos, activos criptográficos.

Una vez introducidas, estas frases se transmiten a servidores controlados por el atacante, lo que les permite vaciar instantáneamente las wallets de criptomonedas de las víctimas.

¿Cómo sucede?

La campaña se basa en una variante del Atomic macOS Stealer, que Moonlock ha detectado en más de 2800 sitios web comprometidos.

Atomic Stealer, también conocido como AMOS (Atomic macOS Stealer), es una cepa de malware diseñada para infectar sistemas macOS y robar información confidencial del usuario.

Observado por primera vez a principios de 2023, rápidamente ganó terreno en foros clandestinos debido a su modelo de malware como servicio (MaaS), donde los ciberdelincuentes pueden alquilarlo e implementar ataques sin conocimientos técnicos.

Una vez que un usuario descarga el malware, este no solo recopila contraseñas, notas y datos de la billetera, sino que también reemplaza la aplicación Ledger Live real con un clon.

La aplicación falsa activa entonces una alerta engañosa sobre "actividad sospechosa", instando al usuario a introducir su frase semilla para supuestamente proteger su monedero.

Inicialmente, según Moonlock, la aplicación clonada se utilizaba solo para robar datos sensibles de los usuarios, pero los atacantes han aprendido a "robar frases semilla y vaciar las carteras de sus víctimas".

Los investigadores de Moonlock han detectado al menos cuatro campañas en curso que utilizan este método y han advertido de que estos actores maliciosos "se están volviendo cada vez más inteligentes".

Moonlock ha estado rastreando la campaña de malware desde agosto y hasta ahora ha identificado al menos cuatro operaciones activas dirigidas a usuarios de Ledger.

Para empeorar la situación, los investigadores también descubrieron que los foros de la web oscura anunciaban cada vez más malware con capacidades "anti-Ledger", aunque en un caso, las funciones de phishing anunciadas aún no estaban totalmente operativas.

Los investigadores especularon que estos podrían estar aún en desarrollo o "se presentarán en futuras actualizaciones".

“Esto no es solo un robo. Es un intento de alto riesgo para superar a una de las herramientas más confiables en el mundo de las criptomonedas. Y los ladrones no están retrocediendo”, dijeron los investigadores de Moonlock.

Otros vectores de ataque dirigidos a usuarios de Ledger

Durante el último año, los usuarios de Ledger se han enfrentado a una variedad de tácticas de phishing.

En una publicación de Reddit de enero de 2024, una víctima describió cómo su computadora fue comprometida silenciosamente, lo que provocó el robo de 15.000 dólares en Bitcoin, Ethereum, Cardano y Litecoin después de ingresar su frase de recuperación en lo que creía que era una solicitud de reinicio de fábrica en Ledger Live.

Los atacantes también han explotado canales de la comunidad. El 11 de mayo de 2025, una cuenta de moderador en el servidor oficial de Discord de Ledger fue comprometida.

El atacante utilizó permisos elevados para silenciar las advertencias de usuarios legítimos e implementó un bot que publicaba enlaces a un sitio de phishing que imitaba una página de verificación de Ledger.

Mientras tanto, a finales de abril, unos estafadores enviaron cartas físicas a los usuarios haciéndose pasar por la comunicación oficial de Ledger.

Estas cartas incluían la marca de la empresa, un número de referencia y un código QR que dirigía a los destinatarios a introducir su frase semilla para una supuesta "actualización de seguridad crítica".

¿Cómo mantenerse a salvo?

Moonlock aconsejó a los usuarios que evitaran introducir su frase de recuperación de 24 palabras en cualquier aplicación, sitio web o formulario, independientemente de lo legítimo que pareciera.

Las advertencias de "error crítico" o las solicitudes de verificación de la billetera casi siempre son señales de una estafa.

La empresa también instó a los usuarios a descargar Ledger Live exclusivamente de fuentes oficiales y advirtió de que ningún servicio Ledger genuino solicitaría una frase de recuperación bajo ninguna circunstancia.