Begini cara penipu menyasarkan pengguna dompet Ledger untuk mencuri crypto pada macOS

Pengguna dompet Ledger disasarkan oleh kempen pancingan data yang canggih yang melibatkan apl Ledger Live palsu pada macOS.

Menurut laporan daripada firma keselamatan siber Moonlock Lab, penyerang menggunakan perisian hasad yang menggantikan aplikasi Ledger Live yang sah dengan bentuk serupa yang direka untuk mencuri frasa pemulihan 24 perkataan pengguna dan, dalam beberapa kes, aset kripto.

Sebaik sahaja dimasukkan, frasa ini dihantar ke pelayan dikawal penyerang, membolehkan mereka menguras dompet mata wang kripto mangsa dengan serta-merta.

Bagaimana ia berlaku?

Kempen ini bergantung pada varian Atomic macOS Stealer, yang dikatakan Moonlock telah ditemui di lebih 2,800 tapak web yang terjejas.

Atomic Stealer, juga dikenali sebagai AMOS (Atomic macOS Stealer), ialah sejenis perisian hasad yang direka untuk menjangkiti sistem macOS dan mencuri maklumat pengguna yang sensitif.

Pertama kali diperhatikan pada awal 2023, ia dengan cepat mendapat tarikan di forum bawah tanah kerana model perisian hasad-sebagai-perkhidmatan (MaaS), di mana penjenayah siber boleh menyewanya dan melancarkan serangan tanpa kepakaran teknikal.

Sebaik sahaja pengguna memuat turun perisian hasad, ia bukan sahaja mengumpul kata laluan, nota dan data dompet tetapi juga menukar apl Ledger Live sebenar dengan klon.

Apl palsu itu kemudian mencetuskan amaran mengelirukan tentang "aktiviti yang mencurigakan," mendorong pengguna memasukkan frasa benih mereka untuk kononnya melindungi dompet mereka.

Pada mulanya, Moonlock menyatakan, aplikasi yang diklon hanya digunakan untuk mencuri data pengguna yang sensitif, tetapi penyerang telah "belajar untuk mencuri frasa benih dan mengosongkan dompet mangsa mereka."

Penyelidik Moonlock telah menjejaki sekurang-kurangnya empat kempen yang sedang berjalan menggunakan kaedah ini dan memberi amaran bahawa pelakon ancaman ini "hanya semakin bijak."

Moonlock telah menjejaki kempen perisian hasad sejak Ogos dan setakat ini telah mengenal pasti sekurang-kurangnya empat operasi aktif yang menyasarkan pengguna Ledger.

Menambah kebimbangan, penyelidik juga mendapati forum web gelap semakin mengiklankan perisian hasad dengan keupayaan "anti-Lejar", walaupun dalam satu kes, ciri pancingan data yang diiklankan masih belum beroperasi sepenuhnya.

Ini mungkin masih dalam pembangunan atau "akan datang dalam kemas kini masa depan," para penyelidik membuat spekulasi.

"Ini bukan sekadar kecurian. Ia adalah usaha yang sangat tinggi untuk mengakali salah satu alat yang paling dipercayai dalam dunia kripto. Dan pencuri itu tidak berundur," kata penyelidik Moonlock.

Vektor serangan lain yang menyasarkan pengguna Lejar

Sepanjang tahun lalu, pengguna Lejar telah menghadapi pelbagai taktik pancingan data.

Dalam satu siaran Reddit dari Januari 2024, seorang mangsa menerangkan bagaimana komputer mereka dikompromi secara senyap, menyebabkan Bitcoin, Ethereum, Cardano dan Litecoin bernilai $15,000 dicuri selepas memasukkan frasa benih mereka ke dalam perkara yang mereka percaya sebagai gesaan tetapan semula kilang dalam Ledger Live.

Penyerang juga telah mengeksploitasi saluran komuniti. Pada 11 Mei 2025, akaun penyederhana dalam pelayan Discord rasmi Ledger telah terjejas.

Penyerang menggunakan kebenaran yang tinggi untuk meredamkan amaran daripada pengguna yang sah dan menggunakan bot yang menyiarkan pautan ke tapak pancingan data yang meniru halaman pengesahan Lejar.

Sementara itu, pada akhir April, penipu menghantar surat fizikal kepada pengguna yang menyamar sebagai komunikasi Lejar rasmi.

Surat-surat ini termasuk penjenamaan syarikat, nombor rujukan dan kod QR yang mengarahkan penerima memasukkan frasa benih mereka untuk "kemas kini keselamatan kritikal" yang sepatutnya.

Bagaimana untuk kekal selamat?

Moonlock menasihatkan pengguna untuk mengelak daripada memasukkan frasa pemulihan 24 perkataan mereka ke dalam mana-mana apl, tapak web atau borang, tidak kira betapa sahnya ia muncul.

Amaran gesaan tentang "ralat kritikal" atau meminta pengesahan dompet hampir selalu merupakan tanda penipuan.

Firma itu juga menggesa pengguna untuk memuat turun Ledger Live secara eksklusif daripada sumber rasmi dan memberi amaran bahawa tiada perkhidmatan Ledger tulen akan pernah meminta frasa pemulihan dalam apa jua keadaan.