Oto, jak oszuści atakują użytkowników portfeli Ledger, aby ukraść kryptowaluty na systemie macOS.

Użytkownicy portfeli Ledger są celem zaawansowanej kampanii phishingowej, w której wykorzystywane są fałszywe aplikacje Ledger Live na systemie macOS.

Zgodnie z raportem firmy zajmującej się cyberbezpieczeństwem Moonlock Lab, atakujący wdrażają złośliwe oprogramowanie, które zastępuje legalną aplikację Ledger Live jej podróbką, zaprojektowaną w celu kradzieży 24-słowych haseł odzyskiwania użytkowników, a w niektórych przypadkach również aktywów kryptowalutowych.

Po wprowadzeniu te frazy są przesyłane do serwerów kontrolowanych przez atakujących, co pozwala im natychmiastowo opróżnić portfele do kryptowalut ofiar.

Jak to się dzieje?

Kampania wykorzystuje wariant Atomic macOS Stealer, który, jak twierdzi Moonlock, został wykryty na ponad 2800 zhakowanych stronach internetowych.

Atomic Stealer, znany również jako AMOS (Atomic macOS Stealer), to typ złośliwego oprogramowania zaprojektowanego do infekowania systemów macOS i kradzieży poufnych danych użytkowników.

Po raz pierwszy zaobserwowano go na początku 2023 roku, a szybko zyskał popularność na podziemnych forach ze względu na model malware-as-a-service (MaaS), w którym cyberprzestępcy mogą go wynająć i przeprowadzać ataki bez specjalistycznej wiedzy technicznej.

Po pobraniu oprogramowania złośliwego, zyskuje ono dostęp nie tylko do haseł, notatek i danych portfela, ale także wymienia prawdziwą aplikację Ledger Live na jej klon.

Fałszywa aplikacja wyzwala następnie zwodniczy komunikat o „podejrzanej aktywności”, promujący użytkownika do wprowadzenia frazy nasionowej w celu rzekomą ochrony portfela.

Jak zauważył Moonlock, początkowo sklonizowana aplikacja służyła jedynie do kradzieży poufnych danych użytkowników, ale napastnicy nauczyli się już „kradnąć frazy nasion i opróżniać portfele ofiar”.

Badacze z Moonlocka śledzą co najmniej cztery trwające kampanie wykorzystujące tę metodę i ostrzegają, że ci cyberprzestępcy „stają się coraz sprytniejsi”.

Moonlock śledzi tę kampanię złośliwego oprogramowania od sierpnia i do tej pory zidentyfikował co najmniej cztery aktywne operacje ukierunkowane na użytkowników Ledger.

Dodatkowo, badacze zauważyli, że na forach w dark webu coraz częściej pojawiają się reklamy oprogramowania złośliwego z funkcją „anti-Ledger”, choć w jednym przypadku reklamowane funkcje phishingowe nie były jeszcze w pełni funkcjonalne.

Badacze spekulowali, że te funkcje mogą być wciąż w fazie rozwoju lub „pojawiły się w przyszłych aktualizacjach”.

„To nie jest zwykły kradzież. To ambitna próba przechytrzenia jednego z najbardziej zaufanych narzędzi w świecie kryptowalut. A złodzieje nie ustępują”, – powiedzieli badacze z Moonlock.

Inne wektory ataków skierowane na użytkowników Ledger

W ciągu ostatniego roku użytkownicy Ledgera spotkali się z różnymi metodami phishingu.

W jednym z postów na Reddicie z stycznia 2024 roku ofiara opisała, jak jej komputer został potajemnie zhakowany, co doprowadziło do kradzieży Bitcoina, Ethereum, Cardano i Litecoina o wartości 15 000 dolarów po wprowadzeniu frazy inicjującej do tego, co uważała za monit o przywrócenie ustawień fabrycznych w Ledger Live.

Atakujący wykorzystywali również kanały społecznościowe. 11 maja 2025 roku konto moderatora na oficjalnym serwerze Discorda firmy Ledger zostało zhakowane.

Atakujący wykorzystał podwyższone uprawnienia do wyciszenia ostrzeżeń od legalnych użytkowników i wdrożył bota, który publikował linki do strony phishingowej naśladującej stronę weryfikacji Ledger.

Tymczasem pod koniec kwietnia oszuści wysyłali użytkownikom fizyczne listy, podszywając się pod oficjalną komunikację firmy Ledger.

Listy te zawierały logo firmy, numer referencyjny oraz kod QR, który miał przekierowywać odbiorców do wpisania swojego klucza seedowego w ramach rzekomej „krytycznej aktualizacji bezpieczeństwa”.

Jak zachować bezpieczeństwo?

Moonlock przestrzegał użytkowników przed wpisywaniem 24-wyrazowego hasła odzyskiwania w jakiejkolwiek aplikacji, witrynie internetowej lub formularzu, niezależnie od tego, jak wiarygodnie to wyglądało.

Ostrzeżenia o „krytycznym błędzie” lub prośby o weryfikację portfela były niemal zawsze oznakami oszustwa.

Firma wezwała również użytkowników do pobierania Ledger Live wyłącznie ze źródeł oficjalnych i ostrzegła, że żadna autentyczna usługa Ledger nigdy nie poprosi o frazę odzyskiwania w żadnych okolicznościach.