Näin huijarit kohdistavat huomionsa Ledger-lompakon käyttäjiin varastaakseen kryptovaluuttoja macOS:ssä

Ledger-lompakon käyttäjiin kohdistuu hienostunut tietojenkalastelukampanja, johon liittyy väärennettyjä Ledger Live -sovelluksia macOS:ssä.

Kyberturvallisuusyritys Moonlock Labin raportin mukaan hyökkääjät käyttävät haittaohjelmia, jotka korvaavat laillisen Ledger Live -sovelluksen kaksoisohjelmalla, joka on suunniteltu varastamaan käyttäjien 24-sanaisia ​​palautuslausekkeita ja joissakin tapauksissa kryptovaroja.

Kun lausekkeet on syötetty, ne lähetetään hyökkääjän hallitsemille palvelimille, minkä ansiosta he voivat tyhjentää uhrien kryptovaluuttalompakot välittömästi.

Miten se tapahtuu?

Kampanja perustuu Atomic macOS Stealerin varianttiin, jota Moonlockin mukaan on löydetty yli 2 800 vaarantuneelta verkkosivustolta.

Atomic Stealer, joka tunnetaan myös nimellä AMOS (Atomic macOS Stealer), on haittaohjelmakanta, joka on suunniteltu tartuttamaan macOS-järjestelmiä ja varastamaan arkaluonteisia käyttäjätietoja.

Se havaittiin ensimmäisen kerran vuoden 2023 alussa, ja se sai nopeasti jalansijaa maanalaisilla foorumeilla haittaohjelma-as-a-service (MaaS) -mallinsa ansiosta, jossa kyberrikolliset voivat vuokrata sen ja toteuttaa hyökkäyksiä ilman teknistä asiantuntemusta.

Kun käyttäjä lataa haittaohjelman, se ei ainoastaan ​​kerää salasanoja, muistiinpanoja ja lompakkotietoja, vaan myös vaihtaa oikean Ledger Live -sovelluksen klooniinsa.

Väärennössovellus laukaisee sitten harhaanjohtavan hälytyksen "epäilyttävästä toiminnasta", joka kehottaa käyttäjää syöttämään alkusanansa lompakkonsa suojaamiseksi.

Moonlock huomautti, että kloonattua sovellusta käytettiin aluksi vain arkaluonteisten käyttäjätietojen varastamiseen, mutta hyökkääjät ovat sittemmin "oppineet varastamaan siemenlausekkeita ja tyhjentämään uhriensa lompakot".

Moonlockin tutkijat ovat seuranneet ainakin neljää meneillään olevaa kampanjaa tällä menetelmällä ja varoittaneet, että nämä uhkatoimijat "vain älykkäämpiä".

Moonlock on seurannut haittaohjelmakampanjaa elokuusta lähtien ja on tähän mennessä tunnistanut ainakin neljä aktiivista operaatiota, jotka kohdistuvat Ledgerin käyttäjiin.

Huolta lisäsi se, että tutkijat havaitsivat myös, että dark web -foorumit mainostivat yhä enemmän haittaohjelmia, joilla oli "anti-Ledger"-ominaisuuksia, vaikka yhdessä tapauksessa mainostetut tietojenkalasteluominaisuudet eivät olleet vielä täysin toiminnassa.

Tutkijoiden mukaan nämä saattavat olla vielä kehitteillä tai "tulossa tulevissa päivityksissä".

”Tämä ei ole pelkkä varkaus. Kyseessä on riskialtis yritys päihittää yksi kryptomaailman luotettavimmista työkaluista. Eivätkä varkaat aio perääntyä”, Moonlockin tutkijat sanoivat.

Muita Ledger-käyttäjiin kohdistuvia hyökkäysvektoreita

Viimeisen vuoden aikana Ledgerin käyttäjät ovat kohdanneet erilaisia ​​​​tietojenkalastelutaktiikoita.

Eräässä Reddit- julkaisussa tammikuussa 2024 uhri kuvaili, kuinka hänen tietokoneensa joutui hiljaisesti vaarantuneeksi, mikä johti 15 000 dollarin arvosta Bitcoinia, Ethereumia, Cardanon ja Litecoinin varastamiseen sen jälkeen, kun uhri oli syöttänyt siemenlausekkeen Ledger Liven tehdasasetusten palautuskehotteeseen.

Hyökkääjät ovat myös hyödyntäneet yhteisökanavia. 11. toukokuuta 2025 Ledgerin virallisella Discord-palvelimella oleva moderaattoritili vaarantui.

Hyökkääjä käytti laajennettuja käyttöoikeuksia mykistääkseen laillisten käyttäjien varoitukset ja otti käyttöön botin, joka julkaisi linkkejä tietojenkalastelusivustolle, joka matki Ledgerin vahvistussivua.

Samaan aikaan huhtikuun lopulla huijarit lähettivät käyttäjille fyysisiä kirjeitä, jotka imitoivat Ledgerin virallista viestintää.

Näihin kirjeisiin sisältyi yrityksen brändäys, viitenumero ja QR-koodi, joka ohjasi vastaanottajia syöttämään alkusanansa oletettua "kriittistä tietoturvapäivitystä" varten.

Miten pysyä turvassa?

Moonlock neuvoi käyttäjiä välttämään 24-sanaisen palautuslausekkeen syöttämistä mihinkään sovellukseen, verkkosivustolle tai lomakkeeseen riippumatta siitä, kuinka lailliselta se vaikuttaa.

"Kriittisestä virheestä" varoittavat tai lompakon vahvistusta pyytävät kehotteet olivat lähes aina merkkejä huijauksesta.

Yritys kehotti myös käyttäjiä lataamaan Ledger Liven yksinomaan virallisista lähteistä ja varoitti, ettei mikään aito Ledger-palvelu koskaan kysy palautuslauseketta missään olosuhteissa.