Så här riktar bedragare in sig på Ledger-plånboksanvändare för att stjäla krypto på macOS

Användare av Ledger-plånböcker riktas mot en sofistikerad nätfiskekampanj som involverar falska Ledger Live-appar på macOS.

Enligt en rapport från cybersäkerhetsföretaget Moonlock Lab distribuerar angripare skadlig kod som ersätter den legitima Ledger Live-applikationen med en kopia av den som är utformad för att stjäla användarnas 24-ords återställningsfraser och, i vissa fall, kryptotillgångar.

När dessa fraser väl har matats in överförs de till angriparkontrollerade servrar, vilket gör att de omedelbart kan tömma offrens kryptovaluta plånböcker.

Hur går det till?

Kampanjen förlitar sig på en variant av Atomic macOS Stealer, som Moonlock sa har hittats på över 2 800 komprometterade webbplatser.

Atomic Stealer, även känt som AMOS (Atomic macOS Stealer), är en skadlig kodstam utformad för att infektera macOS-system och stjäla känslig användarinformation.

Den observerades först i början av 2023 och fick snabbt fäste på underjordiska forum tack vare sin MaaS-modell (malware-as-a-service), där cyberbrottslingar kan hyra den och distribuera attacker utan teknisk expertis.

När en användare laddar ner skadlig kod samlar den inte bara in lösenord, anteckningar och plånboksdata utan byter även ut den riktiga Ledger Live-appen mot en klon.

Den falska appen utlöser sedan en vilseledande varning om "misstänkt aktivitet", vilket uppmanar användaren att ange sin såfras för att förmodligen säkra sin plånbok.

Inledningsvis, noterade Moonlock, användes den klonade appen endast för att stjäla känslig användardata, men angripare har sedan dess "lärt sig att stjäla fröfraser och tömma sina offers plånböcker".

Moonlock-forskare har spårat minst fyra pågående kampanjer med den här metoden och varnat för att dessa hotaktörer "bara blir smartare".

Moonlock har spårat skadlig kodkampanj sedan augusti och har hittills identifierat minst fyra aktiva operationer riktade mot Ledger-användare.

För att ytterligare öka oron fann forskare också att dark web-forum i allt större utsträckning annonserar om skadlig programvara med "anti-Ledger"-funktioner, även om de annonserade nätfiskefunktionerna i ett fall ännu inte var fullt fungerande.

Dessa kan fortfarande vara under utveckling eller "komma i framtida uppdateringar", spekulerade forskarna.

”Det här är inte bara en stöld. Det är en högrisksatsning för att överlista ett av de mest betrodda verktygen i kryptovärlden. Och tjuvarna ger sig inte”, sa Moonlock-forskare.

Andra attackvektorer riktade mot Ledger-användare

Under det senaste året har Ledger-användare mött en rad olika nätfiskemetoder.

I ett Reddit -inlägg från januari 2024 beskrev ett offer hur deras dator i tysthet komprometterades, vilket ledde till att Bitcoin, Ethereum, Cardano och Litecoin till ett värde av 15 000 dollar stals efter att ha angett deras såddfras i vad de trodde var en fabriksåterställningsprompt i Ledger Live.

Angripare har också utnyttjat communitykanaler. Den 11 maj 2025 komprometterades ett moderatorkonto på Ledgers officiella Discord-server.

Angriparen använde utökade behörigheter för att tysta varningar från legitima användare och distribuerade en bot som publicerade länkar till en nätfiskewebbplats som imiterade en Ledger-verifieringssida.

Samtidigt, i slutet av april, skickade bedragare fysiska brev till användare som utgav sig för att vara officiell Ledger-kommunikation.

Dessa brev innehöll företagets varumärke, ett referensnummer och en QR-kod som instruerade mottagarna att ange sin startfras för en förmodad "kritisk säkerhetsuppdatering".

Hur man håller sig säker?

Moonlock rådde användare att undvika att skriva in sin 24-ordsfras för återställning i någon app, webbplats eller formulär, oavsett hur legitim den verkade.

Uppmaningar om att varna för ett "kritiskt fel" eller begära plånboksverifiering var nästan alltid tecken på en bluff.

Företaget uppmanade också användare att ladda ner Ledger Live exklusivt från officiella källor och varnade för att ingen äkta Ledger-tjänst någonsin skulle be om en återställningsfras under några omständigheter.