Ecco come i truffatori prendono di mira gli utenti di Ledger Wallet per rubare criptovalute su macOS.

Gli utenti del wallet Ledger sono presi di mira da una sofisticata campagna di phishing che coinvolge app Ledger Live false su macOS.

Secondo un rapporto della società di sicurezza informatica Moonlock Lab, gli aggressori stanno distribuendo malware che sostituisce l'applicazione Ledger Live legittima con una copia contraffatta progettata per rubare le frasi di recupero di 24 parole degli utenti e, in alcuni casi, i loro asset crittografici.

Una volta inserite, queste frasi vengono trasmesse a server controllati dagli aggressori, consentendo loro di svuotare istantaneamente i wallet per criptovalute delle vittime.

Come succede?

La campagna si basa su una variante di Atomic macOS Stealer, che, secondo Moonlock, è stata individuata su oltre 2.800 siti web compromessi.

Atomic Stealer, noto anche come AMOS (Atomic macOS Stealer), è un tipo di malware progettato per infettare i sistemi macOS e rubare informazioni sensibili degli utenti.

Apparsa per la prima volta all'inizio del 2023, ha rapidamente guadagnato terreno nei forum clandestini grazie al suo modello malware-as-a-service (MaaS), che consente ai criminali informatici di noleggiarla e lanciare attacchi senza competenze tecniche.

Una volta che un utente scarica il malware, questo non solo raccoglie password, note e dati del portafoglio, ma sostituisce anche la vera app Ledger Live con un clone.

L'app contraffatta innesca quindi un avviso ingannevole relativo a "attività sospette", sollecitando l'utente a inserire la frase di recupero per proteggere il proprio portafoglio.

Inizialmente, ha osservato Moonlock, l'app clonata veniva utilizzata solo per rubare dati sensibili degli utenti, ma gli aggressori hanno poi "appreso come rubare le seed phrase e svuotare i portafogli delle loro vittime".

I ricercatori di Moonlock hanno monitorato almeno quattro campagne in corso che utilizzano questo metodo e hanno avvertito che questi attori malintenzionati "stanno diventando sempre più abili".

Moonlock sta monitorando la campagna di malware fin da agosto e finora ha identificato almeno quattro operazioni attive mirate agli utenti di Ledger.

A peggiorare la situazione, i ricercatori hanno anche riscontrato che i forum del dark web pubblicizzano sempre più spesso malware con funzionalità "anti-Ledger", sebbene in un caso le funzionalità di phishing pubblicizzate non fossero ancora pienamente operative.

Secondo le ipotesi dei ricercatori, queste potrebbero essere ancora in fase di sviluppo o "disponibili in aggiornamenti futuri".

"Non si tratta solo di un furto. È un tentativo ad alto rischio di superare in astuzia uno degli strumenti più affidabili nel mondo delle criptovalute. E i ladri non intendono arretrare", hanno dichiarato i ricercatori di Moonlock.

Altri vettori di attacco mirati agli utenti di Ledger

Nell'ultimo anno, gli utenti di Ledger sono stati esposti a una serie di tattiche di phishing.

In un post di Reddit del gennaio 2024, una vittima ha descritto come il suo computer fosse stato compromesso silenziosamente, portando al furto di Bitcoin, Ethereum, Cardano e Litecoin per un valore di 15.000 dollari dopo aver inserito la sua frase di recupero in quella che credeva fosse una richiesta di ripristino delle impostazioni di fabbrica in Ledger Live.

Gli attaccanti hanno sfruttato anche i canali della community. L'11 maggio 2025, un account di moderatore nel server Discord ufficiale di Ledger è stato compromesso.

L'attaccante ha sfruttato privilegi elevati per disabilitare gli avvisi degli utenti legittimi e ha implementato un bot che pubblicava link a un sito di phishing che imitava una pagina di verifica di Ledger.

Nel frattempo, alla fine di aprile, dei truffatori hanno inviato lettere fisiche agli utenti spacciandosi per comunicazioni ufficiali di Ledger.

Queste lettere includevano il marchio aziendale, un numero di riferimento e un codice QR che indirizzava i destinatari a inserire la propria frase di accesso per un presunto "aggiornamento di sicurezza critico".

Come rimanere al sicuro?

Moonlock ha consigliato agli utenti di evitare di inserire la loro frase di recupero di 24 parole in qualsiasi app, sito web o modulo, indipendentemente da quanto legittimo sembrasse.

I messaggi di avviso che segnalavano un "errore critico" o richiedevano la verifica del portafoglio erano quasi sempre segnali di una truffa.

L'azienda ha inoltre esortato gli utenti a scaricare Ledger Live esclusivamente da fonti ufficiali e ha avvertito che nessun servizio Ledger autentico richiederebbe mai una frase di recupero in nessuna circostanza.