Ledger cüzdanı kullanıcıları, macOS üzerinde sahte Ledger Live uygulamalarını içeren sofistike bir phishing kampanyasının hedefi oluyor.
Siber güvenlik firması Moonlock Lab'dan gelen bir rapora göre, saldırganlar kullanıcıların 24 kelimelik kurtarma cümlelerini çalmak ve bazı durumlarda kripto varlıklarını hedef almak için meşru Ledger Live uygulamasının yerine benzeri bir kötü amaçlı yazılım dağıtıyor.
Bir kez girildiğinde, bu ifadeler saldırgan kontrolündeki sunuculara iletilir ve böylece kurbanların kripto para cüzdanlarını anında boşaltmalarını sağlar.
Nasıl oluyor?
Kampanya, Moonlock'un 2,800'den fazla tehlikeye atılmış web sitesinde bulunduğunu söylediği Atomic macOS Stealer'ın bir varyantına dayanıyor.
Atomic Stealer, ayrıca AMOS (Atomic macOS Stealer) olarak bilinir, macOS sistemlerini enfekte etmek ve hassas kullanıcı bilgilerini çalmak için tasarlanmış bir kötü amaçlı yazılım türüdür.
2023'ün başlarında ilk kez gözlemlenen bu yazılım, siber suçluların teknik bilgiye ihtiyaç duymadan kiralayabileceği ve saldırılar düzenleyebileceği kötü amaçlı yazılım hizmeti (MaaS) modeli nedeniyle yeraltı forumlarında hızla popülerlik kazandı.
Bir kullanıcı kötü amaçlı yazılımı indirdiğinde, bu sadece şifreleri, notları ve cüzdan verilerini toplamakla kalmaz, aynı zamanda gerçek Ledger Live uygulamasını bir kopyasıyla değiştirir.
Sahte uygulama daha sonra "şüpheli faaliyet" hakkında yanıltıcı bir uyarı tetikler ve kullanıcının cüzdanını sözde güvence altına almak için kurtarma ifadesini girmesini ister.
Başlangıçta, Moonlock'un belirttiğine göre, klonlanmış uygulama yalnızca hassas kullanıcı verilerini çalmak için kullanılıyordu, ancak saldırganlar artık "seed cümlelerini çalmayı ve kurbanlarının cüzdanlarını boşaltmayı öğrendiler."
Moonlock araştırmacıları bu yöntemi kullanan en az dört devam eden kampanyayı takip etti ve bu tehdit aktörlerinin "sadece daha akıllı hale geldiği" konusunda uyarıda bulundu.
Moonlock, Ağustos ayından beri kötü amaçlı yazılım kampanyasını takip ediyor ve şu ana kadar Ledger kullanıcılarını hedef alan en az dört aktif operasyon tespit etti.
Endişelere ek olarak, araştırmacılar ayrıca karanlık web forumlarının "anti-Ledger" yeteneklerine sahip kötü amaçlı yazılımları giderek daha fazla tanıttığını buldu, ancak bir durumda, tanıtılan kimlik avı özellikleri henüz tam olarak çalışır durumda değildi.
Araştırmacılar, bunların hala geliştirilme aşamasında olabileceğini veya "gelecek güncellemelerde yakın zamanda geleceğini" öne sürdüler.
"Bu sadece bir hırsızlık değil. Kripto dünyasındaki en güvenilir araçlardan birini alt etmek için yüksek riskli bir çaba. Ve hırsızlar geri adım atmıyor," Moonlock araştırmacıları söyledi.
Ledger kullanıcılarını hedef alan diğer saldırı vektörleri
Geçen yıl boyunca, Ledger kullanıcıları çeşitli kimlik avı taktikleriyle karşılaştı.
2024 Ocak ayında bir Reddit gönderisinde, bir mağdur bilgisayarının sessizce ele geçirildiğini, Ledger Live'da fabrika ayarlarına sıfırlama istemi olduğunu düşündükleri bir yere tohum cümlesini girdikten sonra 15.000 dolar değerinde Bitcoin, Ethereum, Cardano ve Litecoin'in çalındığını anlattı.
Saldırganlar ayrıca topluluk kanallarını istismar etti. 11 Mayıs 2025'te, Ledger'ın resmi Discord sunucusundaki bir moderatör hesabı ele geçirildi.
Saldırgan, meşru kullanıcıların uyarılarını susturmak için yükseltilmiş yetkiler kullandı ve bir Ledger doğrulama sayfasını taklit eden bir oltalama sitesine bağlantılar paylaşan bir bot dağıttı.
Bu arada, Nisan ayının sonlarına doğru, dolandırıcılar kullanıcılara resmi Ledger iletişimini taklit eden fiziksel mektuplar gönderdi.
Bu mektuplar, şirket markası, bir referans numarası ve alıcıları sözde "kritik güvenlik güncellemesi" için seed ifadesini girmeye yönlendiren bir QR kodu içeriyordu.
Güvende kalmak için ne yapmalı?
Moonlock, kullanıcıları 24 kelimelik kurtarma ifadesini, ne kadar meşru görünürse görünsün, herhangi bir uygulamaya, web sitesine veya forma girmemeleri konusunda uyardı.
"Kritik hata" uyarısı veren veya cüzdan doğrulaması talep eden bildirimler neredeyse her zaman bir dolandırıcılık belirtisiydi.
Firma, kullanıcıları yalnızca resmi kaynaklardan Ledger Live'i indirmeye teşvik etti ve hiçbir gerçek Ledger hizmetinin herhangi bir durumda kurtarma ifadesi istemeyeceğini uyardı.
Gönderi: İşte dolandırıcıların Ledger cüzdan kullanıcılarını macOS'ta kripto para çalmak için nasıl hedef aldıkları, Invezz'de ilk olarak yayınlandı.
View Original
The content is for reference only, not a solicitation or offer. No investment, tax, or legal advice provided. See Disclaimer for more risks disclosure.
İşte dolandırıcıların macOS'ta kripto para çalmak için Ledger cüzdanı kullanıcılarını nasıl hedef aldıkları.
Siber güvenlik firması Moonlock Lab'dan gelen bir rapora göre, saldırganlar kullanıcıların 24 kelimelik kurtarma cümlelerini çalmak ve bazı durumlarda kripto varlıklarını hedef almak için meşru Ledger Live uygulamasının yerine benzeri bir kötü amaçlı yazılım dağıtıyor.
Bir kez girildiğinde, bu ifadeler saldırgan kontrolündeki sunuculara iletilir ve böylece kurbanların kripto para cüzdanlarını anında boşaltmalarını sağlar.
Nasıl oluyor?
Kampanya, Moonlock'un 2,800'den fazla tehlikeye atılmış web sitesinde bulunduğunu söylediği Atomic macOS Stealer'ın bir varyantına dayanıyor.
Atomic Stealer, ayrıca AMOS (Atomic macOS Stealer) olarak bilinir, macOS sistemlerini enfekte etmek ve hassas kullanıcı bilgilerini çalmak için tasarlanmış bir kötü amaçlı yazılım türüdür.
2023'ün başlarında ilk kez gözlemlenen bu yazılım, siber suçluların teknik bilgiye ihtiyaç duymadan kiralayabileceği ve saldırılar düzenleyebileceği kötü amaçlı yazılım hizmeti (MaaS) modeli nedeniyle yeraltı forumlarında hızla popülerlik kazandı.
Bir kullanıcı kötü amaçlı yazılımı indirdiğinde, bu sadece şifreleri, notları ve cüzdan verilerini toplamakla kalmaz, aynı zamanda gerçek Ledger Live uygulamasını bir kopyasıyla değiştirir.
Sahte uygulama daha sonra "şüpheli faaliyet" hakkında yanıltıcı bir uyarı tetikler ve kullanıcının cüzdanını sözde güvence altına almak için kurtarma ifadesini girmesini ister.
Başlangıçta, Moonlock'un belirttiğine göre, klonlanmış uygulama yalnızca hassas kullanıcı verilerini çalmak için kullanılıyordu, ancak saldırganlar artık "seed cümlelerini çalmayı ve kurbanlarının cüzdanlarını boşaltmayı öğrendiler."
Moonlock araştırmacıları bu yöntemi kullanan en az dört devam eden kampanyayı takip etti ve bu tehdit aktörlerinin "sadece daha akıllı hale geldiği" konusunda uyarıda bulundu.
Moonlock, Ağustos ayından beri kötü amaçlı yazılım kampanyasını takip ediyor ve şu ana kadar Ledger kullanıcılarını hedef alan en az dört aktif operasyon tespit etti.
Endişelere ek olarak, araştırmacılar ayrıca karanlık web forumlarının "anti-Ledger" yeteneklerine sahip kötü amaçlı yazılımları giderek daha fazla tanıttığını buldu, ancak bir durumda, tanıtılan kimlik avı özellikleri henüz tam olarak çalışır durumda değildi.
Araştırmacılar, bunların hala geliştirilme aşamasında olabileceğini veya "gelecek güncellemelerde yakın zamanda geleceğini" öne sürdüler.
"Bu sadece bir hırsızlık değil. Kripto dünyasındaki en güvenilir araçlardan birini alt etmek için yüksek riskli bir çaba. Ve hırsızlar geri adım atmıyor," Moonlock araştırmacıları söyledi.
Ledger kullanıcılarını hedef alan diğer saldırı vektörleri
Geçen yıl boyunca, Ledger kullanıcıları çeşitli kimlik avı taktikleriyle karşılaştı.
2024 Ocak ayında bir Reddit gönderisinde, bir mağdur bilgisayarının sessizce ele geçirildiğini, Ledger Live'da fabrika ayarlarına sıfırlama istemi olduğunu düşündükleri bir yere tohum cümlesini girdikten sonra 15.000 dolar değerinde Bitcoin, Ethereum, Cardano ve Litecoin'in çalındığını anlattı.
Saldırganlar ayrıca topluluk kanallarını istismar etti. 11 Mayıs 2025'te, Ledger'ın resmi Discord sunucusundaki bir moderatör hesabı ele geçirildi.
Saldırgan, meşru kullanıcıların uyarılarını susturmak için yükseltilmiş yetkiler kullandı ve bir Ledger doğrulama sayfasını taklit eden bir oltalama sitesine bağlantılar paylaşan bir bot dağıttı.
Bu arada, Nisan ayının sonlarına doğru, dolandırıcılar kullanıcılara resmi Ledger iletişimini taklit eden fiziksel mektuplar gönderdi.
Bu mektuplar, şirket markası, bir referans numarası ve alıcıları sözde "kritik güvenlik güncellemesi" için seed ifadesini girmeye yönlendiren bir QR kodu içeriyordu.
Güvende kalmak için ne yapmalı?
Moonlock, kullanıcıları 24 kelimelik kurtarma ifadesini, ne kadar meşru görünürse görünsün, herhangi bir uygulamaya, web sitesine veya forma girmemeleri konusunda uyardı.
"Kritik hata" uyarısı veren veya cüzdan doğrulaması talep eden bildirimler neredeyse her zaman bir dolandırıcılık belirtisiydi.
Firma, kullanıcıları yalnızca resmi kaynaklardan Ledger Live'i indirmeye teşvik etti ve hiçbir gerçek Ledger hizmetinin herhangi bir durumda kurtarma ifadesi istemeyeceğini uyardı.
Gönderi: İşte dolandırıcıların Ledger cüzdan kullanıcılarını macOS'ta kripto para çalmak için nasıl hedef aldıkları, Invezz'de ilk olarak yayınlandı.