Dolandırıcılar macOS'ta kripto para çalmak için Ledger cüzdan kullanıcılarını nasıl hedefliyor?

Ledger cüzdan kullanıcıları, macOS'ta sahte Ledger Live uygulamalarını içeren karmaşık bir kimlik avı kampanyasının hedefi haline geliyor.

Siber güvenlik firması Moonlock Lab'ın raporuna göre saldırganlar, meşru Ledger Live uygulamasını, kullanıcıların 24 kelimelik kurtarma ifadelerini ve bazı durumlarda kripto varlıklarını çalmak için tasarlanmış benzeriyle değiştiren kötü amaçlı yazılımlar kullanıyor.

Bu ifadeler bir kez girildiğinde saldırganların kontrolündeki sunuculara iletilir ve bu sayede kurbanların kripto para cüzdanlarındaki para anında boşaltılabilir.

Peki bu nasıl oluyor?

Moonlock, kampanyanın Atomic macOS Stealer'ın 2.800'den fazla saldırıya uğramış web sitesinde bulunduğunu söylediği bir versiyonuna dayandığını belirtti.

Atomic Stealer, AMOS (Atomic macOS Stealer) olarak da bilinen, macOS sistemlerine bulaşmak ve hassas kullanıcı bilgilerini çalmak için tasarlanmış bir kötü amaçlı yazılım türüdür.

İlk olarak 2023'ün başlarında gözlemlenen bu zararlı yazılım, siber suçluların teknik uzmanlığa ihtiyaç duymadan kiralayıp saldırılar düzenleyebildiği kötü amaçlı yazılım hizmeti (MaaS) modeli sayesinde yeraltı forumlarında hızla ilgi gördü.

Kullanıcı kötü amaçlı yazılımı indirdiğinde, yalnızca parolaları, notları ve cüzdan verilerini toplamakla kalmıyor, aynı zamanda gerçek Ledger Live uygulamasını bir klonla değiştiriyor.

Sahte uygulama daha sonra "şüpheli etkinlik" hakkında aldatıcı bir uyarıyı tetikleyerek kullanıcıyı cüzdanını güvence altına almak için başlangıç cümlesini girmeye yönlendiriyor.

Moonlock, başlangıçta klonlanan uygulamanın yalnızca hassas kullanıcı verilerini çalmak için kullanıldığını, ancak saldırganların o zamandan beri "başlangıç cümlelerini çalmayı ve kurbanlarının cüzdanlarını boşaltmayı öğrendiğini" belirtti.

Moonlock araştırmacıları bu yöntemi kullanan en az dört devam eden saldırıyı takip ettiler ve bu tehdit aktörlerinin "daha da akıllandığı" konusunda uyardılar.

Moonlock, Ağustos ayından bu yana kötü amaçlı yazılım kampanyasını izliyor ve şu ana kadar Ledger kullanıcılarını hedef alan en az dört etkin operasyon tespit etti.

Endişeleri artıran bir diğer şey ise araştırmacıların, karanlık web forumlarında giderek daha fazla "Ledger karşıtı" özelliklere sahip kötü amaçlı yazılım reklamı yapıldığını tespit etmesi oldu. Ancak bir durumda, reklamı yapılan kimlik avı özellikleri henüz tam olarak işlevsel değildi.

Araştırmacılar, bunların hala geliştirilme aşamasında olabileceğini veya "gelecekteki güncellemelerle sunulabileceğini" tahmin ediyor.

"Bu sadece bir hırsızlık değil. Kripto dünyasının en güvenilir araçlarından birini alt etmek için yüksek riskli bir çaba. Ve hırsızlar geri adım atmıyor," dedi Moonlock araştırmacıları.

Ledger kullanıcılarını hedef alan diğer saldırı vektörleri

Ledger kullanıcıları son bir yıldır çeşitli kimlik avı taktikleriyle karşı karşıya kaldı.

Ocak 2024'te Reddit'te paylaşılan bir gönderide, bir mağdur, Ledger Live'da fabrika ayarlarına sıfırlama istemi olduğuna inandıkları bir yere tohum ifadelerini girdikten sonra bilgisayarlarının nasıl sessizce tehlikeye atıldığını ve bunun sonucunda 15.000 dolar değerinde Bitcoin, Ethereum, Cardano ve Litecoin'in nasıl çalındığını anlattı.

Saldırganlar ayrıca topluluk kanallarını da istismar ettiler. 11 Mayıs 2025'te Ledger'ın resmi Discord sunucusundaki bir moderatör hesabı tehlikeye atıldı.

Saldırgan, meşru kullanıcılardan gelen uyarıları susturmak için yükseltilmiş izinleri kullandı ve Ledger doğrulama sayfasını taklit eden bir kimlik avı sitesine bağlantılar gönderen bir bot yerleştirdi.

Bu arada, Nisan ayı sonlarında dolandırıcılar, Ledger'ın resmi iletişimini taklit ederek kullanıcılara fiziksel mektuplar gönderdi.

Bu mektuplarda şirket markası, bir referans numarası ve alıcıların sözde "kritik bir güvenlik güncellemesi" için başlangıç cümlelerini girmelerini yönlendiren bir QR kodu yer alıyordu.

Güvende kalmak için ne yapmalıyız?

Moonlock, kullanıcılarına ne kadar meşru görünürse görünsün, 24 kelimelik kurtarma ifadelerini herhangi bir uygulama, web sitesi veya forma girmekten kaçınmaları konusunda tavsiyede bulundu.

"Kritik hata" uyarısı veren veya cüzdan doğrulaması isteyen istemler neredeyse her zaman bir dolandırıcılığın işaretiydi.

Şirket ayrıca kullanıcıları Ledger Live'ı yalnızca resmi kaynaklardan indirmeye çağırdı ve hiçbir gerçek Ledger hizmetinin hiçbir koşulda kurtarma ifadesi istemeyeceği konusunda uyardı.