Les utilisateurs de portefeuilles Ledger sont ciblés par une campagne de phishing sophistiquée impliquant de fausses applications Ledger Live sur macOS.
Selon un rapport de la société de cybersécurité Moonlock Lab, des attaquants déploient des logiciels malveillants qui remplacent l'application Ledger Live légitime par un clone conçu pour voler les phrases de récupération de 24 mots des utilisateurs et, dans certains cas, des actifs cryptographiques.
Une fois entrées, ces phrases sont transmises à des serveurs contrôlés par l'attaquant, leur permettant de vider instantanément les portefeuilles de cryptomonnaie des victimes.
Comment cela se passe-t-il ?
La campagne s'appuie sur une variante de l'Atomic macOS Stealer, que Moonlock a déclaré avoir été trouvée sur plus de 2 800 sites Web compromis.
Atomic Stealer, également connu sous le nom de AMOS (Atomic macOS Stealer), est une souche de malware conçue pour infecter les systèmes macOS et voler des informations sensibles des utilisateurs.
Observé pour la première fois au début de 2023, il a rapidement gagné en popularité sur les forums underground en raison de son modèle de malware-as-a-service (MaaS), où les cybercriminels peuvent le louer et déployer des attaques sans expertise technique.
Une fois qu'un utilisateur télécharge le malware, il collecte non seulement des mots de passe, des notes et des données de portefeuille, mais il échange également la véritable application Ledger Live contre un clone.
L'application frauduleuse déclenche ensuite une alerte trompeuse concernant une "activité suspecte", incitant l'utilisateur à entrer sa phrase de récupération pour soi-disant sécuriser son portefeuille.
Au départ, Moonlock a noté que l'application clonée était utilisée uniquement pour voler des données sensibles des utilisateurs, mais les attaquants ont depuis « appris à voler des phrases de récupération et à vider les portefeuilles de leurs victimes. »
Les chercheurs de Moonlock ont suivi au moins quatre campagnes en cours utilisant cette méthode et ont averti que ces acteurs de la menace "devenaient seulement plus intelligents."
Moonlock suit la campagne de logiciels malveillants depuis août et a jusqu'à présent identifié au moins quatre opérations actives visant les utilisateurs de Ledger.
Ajoutant à l'inquiétude, les chercheurs ont également trouvé des forums du dark web faisant de plus en plus de publicité pour des logiciels malveillants avec des capacités "anti-Ledger", bien que dans un cas, les fonctionnalités de phishing annoncées n'étaient pas encore entièrement opérationnelles.
Ces éléments pourraient encore être en cours de développement ou "à venir dans de futures mises à jour", ont spéculé les chercheurs.
« Ce n'est pas juste un vol. C'est un effort à enjeux élevés pour déjouer l'un des outils les plus fiables du monde de la cryptomonnaie. Et les voleurs ne reculent pas », ont déclaré les chercheurs de Moonlock.
Autres vecteurs d’attaque ciblant les utilisateurs de Ledger
Au cours de l'année écoulée, les utilisateurs de Ledger ont été confrontés à une gamme de tactiques de phishing.
Dans un post Reddit de janvier 2024, une victime a décrit comment son ordinateur avait été silencieusement compromis, entraînant le vol de 15 000 $ en Bitcoin, Ethereum, Cardano et Litecoin après avoir entré sa phrase secrète dans ce qu'elle croyait être une invite de réinitialisation d'usine dans Ledger Live.
Les attaquants ont également exploité les canaux communautaires. Le 11 mai 2025, un compte de modérateur sur le serveur Discord officiel de Ledger a été compromis.
L'attaquant a utilisé des autorisations élevées pour réduire au silence les avertissements des utilisateurs légitimes et a déployé un bot qui a posté des liens vers un site de phishing imitant une page de vérification Ledger.
Pendant ce temps, fin avril, des escrocs ont envoyé des lettres physiques aux utilisateurs en se faisant passer pour une communication officielle de Ledger.
Ces lettres incluaient la marque de l'entreprise, un numéro de référence et un code QR dirigeant les destinataires à entrer leur phrase de récupération pour une supposée "mise à jour de sécurité critique".
Comment rester en sécurité ?
Moonlock a conseillé aux utilisateurs d'éviter de saisir leur phrase de récupération de 24 mots dans toute application, site web ou formulaire, quelle que soit son apparence légitime.
Les avertissements de "erreur critique" ou les demandes de vérification de portefeuille étaient presque toujours des signes d'une arnaque.
La société a également exhorté les utilisateurs à télécharger Ledger Live exclusivement à partir de sources officielles et a averti qu'aucun service Ledger authentique ne demanderait jamais une phrase de récupération dans aucune circonstance.
Le post Voici comment les escrocs ciblent les utilisateurs de portefeuilles Ledger pour voler des cryptomonnaies sur macOS est apparu en premier sur Invezz
Voir l'original
Le contenu est fourni à titre de référence uniquement, il ne s'agit pas d'une sollicitation ou d'une offre. Aucun conseil en investissement, fiscalité ou juridique n'est fourni. Consultez l'Avertissement pour plus de détails sur les risques.
Voici comment les escrocs ciblent les utilisateurs de portefeuilles Ledger pour voler des crypto-monnaies sur macOS
Selon un rapport de la société de cybersécurité Moonlock Lab, des attaquants déploient des logiciels malveillants qui remplacent l'application Ledger Live légitime par un clone conçu pour voler les phrases de récupération de 24 mots des utilisateurs et, dans certains cas, des actifs cryptographiques.
Une fois entrées, ces phrases sont transmises à des serveurs contrôlés par l'attaquant, leur permettant de vider instantanément les portefeuilles de cryptomonnaie des victimes.
Comment cela se passe-t-il ?
La campagne s'appuie sur une variante de l'Atomic macOS Stealer, que Moonlock a déclaré avoir été trouvée sur plus de 2 800 sites Web compromis.
Atomic Stealer, également connu sous le nom de AMOS (Atomic macOS Stealer), est une souche de malware conçue pour infecter les systèmes macOS et voler des informations sensibles des utilisateurs.
Observé pour la première fois au début de 2023, il a rapidement gagné en popularité sur les forums underground en raison de son modèle de malware-as-a-service (MaaS), où les cybercriminels peuvent le louer et déployer des attaques sans expertise technique.
Une fois qu'un utilisateur télécharge le malware, il collecte non seulement des mots de passe, des notes et des données de portefeuille, mais il échange également la véritable application Ledger Live contre un clone.
L'application frauduleuse déclenche ensuite une alerte trompeuse concernant une "activité suspecte", incitant l'utilisateur à entrer sa phrase de récupération pour soi-disant sécuriser son portefeuille.
Au départ, Moonlock a noté que l'application clonée était utilisée uniquement pour voler des données sensibles des utilisateurs, mais les attaquants ont depuis « appris à voler des phrases de récupération et à vider les portefeuilles de leurs victimes. »
Les chercheurs de Moonlock ont suivi au moins quatre campagnes en cours utilisant cette méthode et ont averti que ces acteurs de la menace "devenaient seulement plus intelligents."
Moonlock suit la campagne de logiciels malveillants depuis août et a jusqu'à présent identifié au moins quatre opérations actives visant les utilisateurs de Ledger.
Ajoutant à l'inquiétude, les chercheurs ont également trouvé des forums du dark web faisant de plus en plus de publicité pour des logiciels malveillants avec des capacités "anti-Ledger", bien que dans un cas, les fonctionnalités de phishing annoncées n'étaient pas encore entièrement opérationnelles.
Ces éléments pourraient encore être en cours de développement ou "à venir dans de futures mises à jour", ont spéculé les chercheurs.
« Ce n'est pas juste un vol. C'est un effort à enjeux élevés pour déjouer l'un des outils les plus fiables du monde de la cryptomonnaie. Et les voleurs ne reculent pas », ont déclaré les chercheurs de Moonlock.
Autres vecteurs d’attaque ciblant les utilisateurs de Ledger
Au cours de l'année écoulée, les utilisateurs de Ledger ont été confrontés à une gamme de tactiques de phishing.
Dans un post Reddit de janvier 2024, une victime a décrit comment son ordinateur avait été silencieusement compromis, entraînant le vol de 15 000 $ en Bitcoin, Ethereum, Cardano et Litecoin après avoir entré sa phrase secrète dans ce qu'elle croyait être une invite de réinitialisation d'usine dans Ledger Live.
Les attaquants ont également exploité les canaux communautaires. Le 11 mai 2025, un compte de modérateur sur le serveur Discord officiel de Ledger a été compromis.
L'attaquant a utilisé des autorisations élevées pour réduire au silence les avertissements des utilisateurs légitimes et a déployé un bot qui a posté des liens vers un site de phishing imitant une page de vérification Ledger.
Pendant ce temps, fin avril, des escrocs ont envoyé des lettres physiques aux utilisateurs en se faisant passer pour une communication officielle de Ledger.
Ces lettres incluaient la marque de l'entreprise, un numéro de référence et un code QR dirigeant les destinataires à entrer leur phrase de récupération pour une supposée "mise à jour de sécurité critique".
Comment rester en sécurité ?
Moonlock a conseillé aux utilisateurs d'éviter de saisir leur phrase de récupération de 24 mots dans toute application, site web ou formulaire, quelle que soit son apparence légitime.
Les avertissements de "erreur critique" ou les demandes de vérification de portefeuille étaient presque toujours des signes d'une arnaque.
La société a également exhorté les utilisateurs à télécharger Ledger Live exclusivement à partir de sources officielles et a averti qu'aucun service Ledger authentique ne demanderait jamais une phrase de récupération dans aucune circonstance.
Le post Voici comment les escrocs ciblent les utilisateurs de portefeuilles Ledger pour voler des cryptomonnaies sur macOS est apparu en premier sur Invezz