Zo proberen oplichters Ledger-gebruikers op macOS te beroven van hun crypto.

Gebruikers van Ledger-wallets worden het doelwit van een geavanceerde phishingcampagne waarbij valse Ledger Live-apps op macOS worden gebruikt.

Volgens een rapport van het cybersecuritybedrijf Moonlock Lab zetten aanvallers malware in die de legitieme Ledger Live-applicatie vervangt door een look-alike die is ontworpen om de 24-woord herstelzinnen van gebruikers te stelen en in sommige gevallen ook crypto-activa.

Zodra deze zinnen zijn ingevoerd, worden ze verzonden naar door de aanvaller beheerde servers, waardoor ze de cryptocurrency wallets van slachtoffers onmiddellijk kunnen leegmaken.

Hoe komt het zover?

De campagne maakt gebruik van een variant van de Atomic macOS Stealer, die volgens Moonlock op meer dan 2.800 gecompromitteerde websites is aangetroffen.

Atomic Stealer, ook bekend als AMOS (Atomic macOS Stealer), is een malwarevariant die ontworpen is om macOS-systemen te infecteren en gevoelige gebruikersinformatie te stelen.

Het werd voor het eerst waargenomen in het begin van 2023 en won snel aan populariteit op ondergrondse forums vanwege het malware-as-a-service (MaaS)-model, waarbij cybercriminelen het kunnen huren en aanvallen kunnen uitvoeren zonder technische expertise.

Zodra een gebruiker de malware heeft gedownload, verzamelt deze niet alleen wachtwoorden, notities en portemonneegegevens, maar verwisselt deze ook de echte Ledger Live-app met een kloon.

De nep-app activeert vervolgens een misleidend alarm over "verdachte activiteit" en vraagt de gebruiker om zijn seedphrase in te voeren om zogenaamd zijn wallet te beveiligen.

Moonlock merkte op dat de gekloonde app aanvankelijk alleen werd gebruikt om gevoelige gebruikersgegevens te stelen, maar dat de aanvallers inmiddels hebben "geleerd om seedphrases te stelen en de portemonnees van hun slachtoffers te leegmaken".

Onderzoekers van Moonlock hebben minstens vier lopende campagnes met deze methode gevolgd en waarschuwden dat deze bedreigingsactoren "alleen maar slimmer worden".

Moonlock houdt de malwarecampagne al sinds augustus in de gaten en heeft tot nu toe minstens vier actieve operaties geïdentificeerd die Ledger-gebruikers als doelwit hebben.

Naar aanleiding van deze bevindingen uitten onderzoekers hun bezorgdheid over het feit dat op dark web-fora steeds vaker malware wordt aangeboden met "anti-Ledger"-mogelijkheden, hoewel in één geval de aangekondigde phishingfuncties nog niet volledig operationeel waren.

De onderzoekers speculeerden dat deze functies nog in ontwikkeling zouden kunnen zijn of "in toekomstige updates beschikbaar zouden komen".

"Dit is niet zomaar een diefstal. Het is een poging met hoge inzet om een van de meest vertrouwde tools in de cryptowereld te slim af te zijn. En de dieven geven niet op," aldus onderzoekers van Moonlock.

Andere aanvalsmethoden gericht op Ledger-gebruikers

In het afgelopen jaar hebben Ledger-gebruikers te maken gehad met diverse phishingtactieken.

In een Reddit -bericht van januari 2024 beschreef een slachtoffer hoe zijn computer stiekem was gecompromitteerd, wat leidde tot de diefstal van $15.000 aan Bitcoin, Ethereum, Cardano en Litecoin nadat hij zijn seedphrase had ingevoerd in wat hij dacht dat een prompt voor een fabrieksreset in Ledger Live was.

Aanvallers hebben ook gebruik gemaakt van communitykanalen. Op 11 mei 2025 werd een moderatoraccount op de officiële Discord-server van Ledger gecompromitteerd.

De aanvaller maakte gebruik van verhoogde rechten om waarschuwingen van legitieme gebruikers te negeren en implementeerde een bot die links naar een phishingwebsite plaatste die een Ledger-verificatieweergave imiteerde.

Ondertussen verstuurden oplichters eind april fysieke brieven naar gebruikers, waarbij ze zich voordeden als officiële communicatie van Ledger.

Deze brieven bevatten de bedrijfsnaam, een referentienummer en een QR-code die ontvangers zouden leiden naar een pagina waar ze hun seedphrase moesten invoeren voor een zogenaamde "cruciale beveiligingsupdate".

Hoe blijf je veilig?

Moonlock adviseerde gebruikers om te voorkomen dat ze hun herstelzin van 24 woorden invoeren in een app, website of formulier, ongeacht hoe legitiem het er ook uitzag.

Waarschuwingen over een "kritische fout" of verzoeken om verificatie van de portemonnee waren vrijwel altijd een teken van oplichting.

Het bedrijf drong er ook bij gebruikers op aan om Ledger Live uitsluitend van officiële bronnen te downloaden en waarschuwde dat geen enkele echte Ledger-service ooit om een herstelcode zou vragen, ongeacht de omstandigheden.