Iată cum escrocii vizează utilizatorii portofelului Ledger pentru a fura criptomonede pe macOS

Utilizatorii portofelului Ledger sunt vizați de o campanie sofisticată de phishing care implică aplicații false Ledger Live pe macOS.

Conform unui raport al firmei de securitate cibernetică Moonlock Lab, atacatorii implementează programe malware care înlocuiesc aplicația legitimă Ledger Live cu o aplicație similară, concepută pentru a fura frazele de recuperare de 24 de cuvinte ale utilizatorilor și, în unele cazuri, active cripto.

Odată introduse, aceste fraze sunt transmise către serverele controlate de atacatori, permițându-le acestora să golească instantaneu portofelele de criptomonede ale victimelor.

Cum se întâmplă?

Campania se bazează pe o variantă a Atomic macOS Stealer, despre care Moonlock a spus că a fost găsită pe peste 2.800 de site-uri web compromise.

Atomic Stealer, cunoscut și sub numele de AMOS (Atomic macOS Stealer), este o tulpină de malware concepută pentru a infecta sistemele macOS și a fura informații sensibile ale utilizatorilor.

Observat pentru prima dată la începutul anului 2023, a câștigat rapid teren pe forumurile underground datorită modelului său de tip malware-as-a-service (MaaS), prin care infractorii cibernetici îl pot închiria și implementa atacuri fără expertiză tehnică.

Odată ce un utilizator descarcă malware-ul, acesta nu numai că colectează parole, notițe și date din portofel, dar înlocuiește și aplicația Ledger Live reală cu o clonă.

Aplicația falsă declanșează apoi o alertă înșelătoare despre „activitate suspectă”, determinând utilizatorul să introducă fraza sa de pornire pentru a-și securiza presupus portofelul.

Inițial, a remarcat Moonlock, aplicația clonată a fost folosită doar pentru a fura date sensibile ale utilizatorilor, dar atacatorii au „învățat de atunci să fure fraze inițiale și să golească portofelele victimelor lor”.

Cercetătorii Moonlock au urmărit cel puțin patru campanii în desfășurare folosind această metodă și au avertizat că acești actori amenințători „devin doar mai inteligenți”.

Moonlock urmărește campania de malware din august și a identificat până acum cel puțin patru operațiuni active care vizează utilizatorii Ledger.

Un aspect care sporește îngrijorarea este și faptul că cercetătorii au descoperit că forumurile de pe dark web promovează din ce în ce mai mult programe malware cu capacități „anti-Ledger”, deși, într-un caz, funcțiile de phishing promovate nu erau încă pe deplin operaționale.

Cercetătorii au speculat că acestea ar putea fi încă în curs de dezvoltare sau „vor apărea în actualizări viitoare”.

„Nu este vorba doar de un furt. Este un efort cu miză mare de a depăși unul dintre cele mai de încredere instrumente din lumea cripto. Iar hoții nu dau înapoi”, au declarat cercetătorii de la Moonlock.

Alți vectori de atac care vizează utilizatorii Ledger

În ultimul an, utilizatorii Ledger s-au confruntat cu o serie de tactici de phishing.

Într-o postare de pe Reddit din ianuarie 2024, o victimă a descris cum computerul său a fost compromis în mod silențios, ceea ce a dus la furtul de Bitcoin, Ethereum, Cardano și Litecoin în valoare de 15.000 de dolari, după ce a introdus fraza sa de pornire în ceea ce credea că este o solicitare de resetare din fabrică în Ledger Live.

Atacatorii au exploatat și canalele comunității. Pe 11 mai 2025, un cont de moderator de pe serverul oficial Discord al Ledger a fost compromis.

Atacatorul a folosit permisiuni ridicate pentru a dezactiva avertismentele de la utilizatorii legitimi și a implementat un bot care a postat linkuri către un site de phishing care imita o pagină de verificare Ledger.

Între timp, la sfârșitul lunii aprilie, escrocii au trimis scrisori fizice utilizatorilor care se prefăceau a fi comunicarea oficială Ledger.

Aceste scrisori includeau brandingul companiei, un număr de referință și un cod QR care îi îndruma pe destinatari să introducă fraza de pornire pentru o presupusă „actualizare critică de securitate”.

Cum să stai în siguranță?

Moonlock a sfătuit utilizatorii să evite introducerea frazei de recuperare de 24 de cuvinte în orice aplicație, site web sau formular, indiferent de cât de legitimă părea aceasta.

Solicitările care avertizau asupra unei „erori critice” sau solicitau verificarea portofelului erau aproape întotdeauna semne ale unei înșelătorii.

Firma a îndemnat, de asemenea, utilizatorii să descarce Ledger Live exclusiv din surse oficiale și a avertizat că niciun serviciu Ledger autentic nu va solicita vreodată o frază de recuperare în nicio circumstanță.