Voici comment les escrocs ciblent les utilisateurs de portefeuilles Ledger pour voler des cryptomonnaies sur macOS.

Les utilisateurs de portefeuilles Ledger sont ciblés par une campagne d'hameçonnage sophistiquée impliquant de fausses applications Ledger Live sur macOS.

Selon un rapport de la société de cybersécurité Moonlock Lab, des pirates informatiques diffusent des logiciels malveillants qui remplacent l'application légitime Ledger Live par une application de contrefaçon conçue pour voler les phrases de récupération de 24 mots des utilisateurs et, dans certains cas, leurs actifs cryptographiques.

Une fois saisies, ces phrases sont transmises à des serveurs contrôlés par les attaquants, ce qui leur permet de vider instantanément les wallets crypto-monnaie des victimes.

Comment cela se produit-il ?

La campagne repose sur une variante de l'Atomic macOS Stealer, qui, selon Moonlock, a été détectée sur plus de 2 800 sites web compromis.

Atomic Stealer, également connu sous le nom d'AMOS (Atomic macOS Stealer), est un type de logiciel malveillant conçu pour infecter les systèmes macOS et voler des informations sensibles sur les utilisateurs.

Apparu pour la première fois début 2023, il a rapidement gagné en popularité sur les forums clandestins grâce à son modèle de logiciel malveillant en tant que service (MaaS), qui permet aux cybercriminels de le louer et de lancer des attaques sans avoir de compétences techniques.

Une fois que l'utilisateur a téléchargé le logiciel malveillant, celui-ci non seulement collecte les mots de passe, les notes et les données du portefeuille, mais il remplace également la véritable application Ledger Live par un clone.

L'application frauduleuse déclenche ensuite une alerte trompeuse concernant une « activité suspecte », invitant l'utilisateur à saisir sa phrase de récupération afin de sécuriser son portefeuille.

Initialement, a fait remarquer Moonlock, l'application clonée servait uniquement à voler des données utilisateur sensibles, mais les attaquants ont depuis « appris à voler les phrases de mémorisation et à vider les portefeuilles de leurs victimes ».

Les chercheurs de Moonlock ont identifié au moins quatre campagnes en cours utilisant cette méthode et ont averti que ces acteurs malveillants « deviennent de plus en plus malins ».

Moonlock surveille cette campagne de logiciels malveillants depuis le mois d'août et a jusqu'à présent identifié au moins quatre opérations actives ciblant les utilisateurs de Ledger.

Pour aggraver la situation, les chercheurs ont également constaté que les forums du dark web faisaient de plus en plus la promotion de logiciels malveillants dotés de capacités « anti-Ledger », bien que, dans un cas, les fonctionnalités de phishing annoncées ne soient pas encore pleinement opérationnelles.

Ces fonctionnalités pourraient encore être en cours de développement ou « apparaître dans les prochaines mises à jour », ont supposé les chercheurs.

« Il ne s'agit pas seulement d'un vol. C'est une tentative audacieuse de tromper l'un des outils les plus fiables du monde de la cryptomonnaie. Et les voleurs ne reculent pas », ont déclaré les chercheurs de Moonlock.

Autres vecteurs d'attaque ciblant les utilisateurs de Ledger

Au cours de l'année écoulée, les utilisateurs de Ledger ont été confrontés à toute une série de tactiques de phishing.

Dans un message Reddit daté de janvier 2024, une victime a décrit comment son ordinateur avait été compromis discrètement, ce qui a conduit au vol de 15 000 dollars en Bitcoin, Ethereum, Cardano et Litecoin après avoir entré sa phrase de passe dans ce qu'elle pensait être une invite de réinitialisation d'usine dans Ledger Live.

Les attaquants ont également exploité les canaux communautaires. Le 11 mai 2025, un compte de modérateur sur le serveur Discord officiel de Ledger a été compromis.

L'attaquant a utilisé des privilèges élevés pour désactiver les avertissements provenant d'utilisateurs légitimes et a déployé un bot qui publiait des liens vers un site de phishing imitant une page de vérification Ledger.

Parallèlement, fin avril, des escrocs ont envoyé des lettres physiques aux utilisateurs en se faisant passer pour la communication officielle de Ledger.

Ces lettres comprenaient le logo de l'entreprise, un numéro de référence et un code QR invitant les destinataires à saisir leur phrase de récupération pour une prétendue "mise à jour de sécurité critique".

Comment rester en sécurité ?

Moonlock a conseillé aux utilisateurs d'éviter de saisir leur phrase de récupération de 24 mots dans toute application, tout site web ou tout formulaire, quel que soit son apparence légitime.

Les avertissements concernant une « erreur critique » ou les demandes de vérification du portefeuille étaient presque toujours des signes d'une tentative d'escroquerie.

La firme a également exhorté les utilisateurs à télécharger Ledger Live exclusivement à partir de sources officielles et a prévenu qu'aucun service Ledger authentique ne demanderait jamais une phrase de récupération en aucune circonstance.