Slik retter svindlere seg mot Ledger-lommebokbrukere for å stjele krypto på macOS

Brukere av Ledger-lommebøker er mål for en sofistikert phishing-kampanje som involverer falske Ledger Live-apper på macOS.

Ifølge en rapport fra cybersikkerhetsfirmaet Moonlock Lab, distribuerer angripere skadelig programvare som erstatter den legitime Ledger Live-applikasjonen med en lookalike designet for å stjele brukernes 24-ords gjenopprettingsfraser og, i noen tilfeller, kryptoaktiva.

Når disse frasene er tastet inn, overføres de til angriperkontrollerte servere, slik at de umiddelbart kan tømme ofrenes kryptovaluta lommebøker.

Hvordan skjer det?

Kampanjen er basert på en variant av Atomic macOS Stealer, som Moonlock sa har blitt funnet på over 2800 kompromitterte nettsteder.

Atomic Stealer, også kjent som AMOS (Atomic macOS Stealer), er en skadelig programvarestamme som er utviklet for å infisere macOS-systemer og stjele sensitiv brukerinformasjon.

Den ble først observert tidlig i 2023, og fikk raskt fotfeste på undergrunnsfora på grunn av sin malware-as-a-service (MaaS)-modell, hvor nettkriminelle kan leie den og distribuere angrep uten teknisk ekspertise.

Når en bruker laster ned skadevaren, samler den ikke bare inn passord, notater og lommebokdata, men bytter også den virkelige Ledger Live-appen med en klone.

Den falske appen utløser deretter et villedende varsel om «mistenkelig aktivitet», som ber brukeren om å skrive inn sin egen seed-frase for angivelig å sikre lommeboken sin.

Moonlock bemerket at den klonede appen i utgangspunktet bare ble brukt til å stjele sensitive brukerdata, men angripere har siden «lært å stjele såkorn og tømme ofrenes lommebøker».

Moonlock-forskere har sporet minst fire pågående kampanjer ved hjelp av denne metoden og advart om at disse trusselaktørene «bare blir smartere».

Moonlock har sporet skadevarekampanjen siden august og har så langt identifisert minst fire aktive operasjoner rettet mot Ledger-brukere.

Forskerne fant også ut at mørke nettfora i økende grad annonserte skadelig programvare med «anti-Ledger»-funksjoner, men i ett tilfelle var de annonserte phishing-funksjonene ennå ikke fullt operative.

Disse kan fortsatt være under utvikling eller «komme i fremtidige oppdateringer», spekulerte forskerne.

«Dette er ikke bare et tyveri. Det er et høyrisikoforsøk for å overliste et av de mest pålitelige verktøyene i kryptoverdenen. Og tyvene gir seg ikke», sa Moonlock-forskere.

Andre angrepsvektorer rettet mot Ledger-brukere

I løpet av det siste året har Ledger-brukere blitt utsatt for en rekke phishing-taktikker.

I et Reddit -innlegg fra januar 2024 beskrev et offer hvordan datamaskinen deres ble kompromittert i stillhet, noe som førte til at Bitcoin, Ethereum, Cardano og Litecoin til en verdi av 15 000 dollar ble stjålet etter at de hadde skrevet inn frøfrasen deres i det de trodde var en fabrikkinnstillingsmelding i Ledger Live.

Angripere har også utnyttet fellesskapskanaler. 11. mai 2025 ble en moderatorkonto på Ledgers offisielle Discord-server kompromittert.

Angriperen brukte utvidede tillatelser for å dempe advarsler fra legitime brukere og distribuerte en bot som publiserte lenker til et phishing-nettsted som etterlignet en Ledger-verifiseringsside.

I mellomtiden, i slutten av april, sendte svindlere fysiske brev til brukere som utga seg for å være offisiell Ledger-kommunikasjon.

Disse brevene inneholdt firmalogo, et referansenummer og en QR-kode som instruerte mottakerne til å oppgi startfrasen for en angivelig «kritisk sikkerhetsoppdatering».

Hvordan holde seg trygg?

Moonlock anbefalte brukere å unngå å skrive inn den 24 ord lange gjenopprettingsfrasen i noen apper, nettsteder eller skjemaer, uavhengig av hvor legitim den virket.

Forespørsler om advarsel om en «kritisk feil» eller forespørsel om lommebokverifisering var nesten alltid tegn på svindel.

Firmaet oppfordret også brukere til å laste ned Ledger Live utelukkende fra offisielle kilder og advarte om at ingen ekte Ledger-tjeneste noen gang ville be om en gjenopprettingsfrase under noen omstendigheter.