Veja como golpistas estão visando usuários da carteira Ledger para roubar criptomoedas no macOS.

Usuários da carteira Ledger estão sendo alvos de uma campanha de phishing sofisticada que envolve aplicativos falsos do Ledger Live no macOS.

De acordo com um relatório da empresa de segurança cibernética Moonlock Lab, os atacantes estão implantando malware que substitui o aplicativo legítimo Ledger Live por um aplicativo falso, projetado para roubar as frases de recuperação de 24 palavras dos usuários e, em alguns casos, ativos criptográficos.

Uma vez inseridas, essas frases são transmitidas para servidores controlados pelo atacante, permitindo que eles esvistem instantaneamente as wallets para criptomoedas das vítimas.

Como isso acontece?

A campanha se baseia em uma variante do Atomic macOS Stealer, que, segundo a Moonlock, foi encontrada em mais de 2.800 sites comprometidos.

Atomic Stealer, também conhecido como AMOS (Atomic macOS Stealer), é uma variante de malware projetada para infectar sistemas macOS e roubar informações confidenciais do usuário.

Observado pela primeira vez no início de 2023, rapidamente ganhou força em fóruns clandestinos devido ao seu modelo de malware como serviço (MaaS), onde criminosos cibernéticos podem alugá-lo e executar ataques sem conhecimento técnico especializado.

Assim que um usuário baixa o malware, ele não apenas coleta senhas, notas e dados da carteira, mas também substitui o aplicativo Ledger Live original por um clone.

O aplicativo falso então aciona um alerta enganoso sobre "atividade suspeita", solicitando ao usuário que insira sua frase secreta para supostamente proteger sua carteira.

Inicialmente, observou a Moonlock, o aplicativo clonado era usado apenas para roubar dados confidenciais do usuário, mas os atacantes desde então "aprenderam a roubar frases-chave e esvaziar as carteiras de suas vítimas".

Os pesquisadores da Moonlock rastrearam pelo menos quatro campanhas em andamento usando este método e alertaram que esses atores de ameaça estão "ficando cada vez mais inteligentes".

A Moonlock tem monitorado a campanha de malware desde agosto e, até agora, identificou pelo menos quatro operações ativas que têm como alvo os usuários da Ledger.

Para piorar a situação, os pesquisadores também descobriram que fóruns da dark web estão cada vez mais anunciando malware com capacidades "anti-Ledger", embora, em um caso, os recursos de phishing anunciados ainda não estivessem totalmente operacionais.

Os pesquisadores especularam que esses recursos ainda poderiam estar em desenvolvimento ou "seriam disponibilizados em atualizações futuras".

“Isso não é apenas um roubo. É um esforço de alto risco para superar uma das ferramentas mais confiáveis do mundo das criptomoedas. E os ladrões não estão recuando”, disseram os pesquisadores da Moonlock.

Outros vetores de ataque que visam usuários da Ledger

Ao longo do último ano, os usuários da Ledger enfrentaram uma variedade de táticas de phishing.

Em um post do Reddit de janeiro de 2024, uma vítima descreveu como seu computador foi comprometido silenciosamente, resultando no roubo de US$ 15.000 em Bitcoin, Ethereum, Cardano e Litecoin depois de inserir sua frase secreta em um prompt que ela acreditava ser para redefinir as configurações de fábrica no Ledger Live.

Os atacantes também exploraram canais da comunidade. Em 11 de maio de 2025, uma conta de moderador no servidor oficial do Discord da Ledger foi comprometida.

O atacante usou permissões elevadas para silenciar avisos de usuários legítimos e implantou um bot que publicava links para um site de phishing que imitava uma página de verificação da Ledger.

Enquanto isso, no final de abril, golpistas enviaram cartas físicas para usuários, se passando por comunicações oficiais da Ledger.

Essas cartas continham a marca da empresa, um número de referência e um código QR que direcionava os destinatários a inserir sua frase secreta para uma suposta "atualização de segurança crítica".

Como se manter seguro?

A Moonlock aconselhou os usuários a evitar inserir sua frase de recuperação de 24 palavras em qualquer aplicativo, site ou formulário, independentemente de quão legítimo parecesse.

Mensagens de alerta sobre um "erro crítico" ou solicitando verificação da carteira quase sempre eram sinais de golpe.

A empresa também pediu aos usuários para baixar o Ledger Live exclusivamente de fontes oficiais e alertou que nenhum serviço genuíno da Ledger jamais solicitaria uma frase de recuperação sob quaisquer circunstâncias.