Користувачі гаманців Ledger стають жертвами складної фішингової кампанії, що включає фальшиві додатки Ledger Live на macOS.
Згідно зі звітом фірми з кібербезпеки Moonlock Lab, зловмисники розгортають шкідливе програмне забезпечення, яке замінює законну програму Ledger Live на двійник, призначений для крадіжки фраз відновлення з 24 слів користувачів і, в деяких випадках, криптоактивів.
Після введення ці ці фрази передаються на сервери, контрольовані зловмисниками, що дозволяє їм миттєво вичерпувати криптовалютні гаманці жертв.
Як це відбувається?
Кампанія покладається на варіант Atomic macOS Stealer, який, за словами Moonlock, було виявлено на понад 2,800 скомпрометованих веб-сайтах.
Atomic Stealer, також відомий як AMOS (Atomic macOS Stealer), є штамом шкідливого ПЗ, що призначений для зараження систем macOS та викрадення чутливої інформації користувача.
Вперше виявлений на початку 2023 року, він швидко набрав популярності на підпільних форумах завдяки своїй моделі malware-as-a-service (MaaS), де кіберзлочинці можуть орендувати його та проводити атаки без технічних знань.
Як тільки користувач завантажує шкідливе ПЗ, воно не тільки збирає паролі, нотатки та дані гаманця, але й замінює справжній додаток Ledger Live на клон.
Шкідливий додаток потім викликає оманливе сповіщення про "підозрільну активність", закликаючи користувача ввести свою seed-фразу, щоб нібито забезпечити свій гаманець.
Спочатку, зазначив Moonlock, клонований додаток використовувався лише для викрадення чутливих даних користувачів, але з тих пір зловмисники "навчилися викрадати фрази-відновлення і очищати гаманці своїх жертв."
Дослідники Moonlock відстежили принаймні чотири кампанії, які використовують цей метод, і попередили, що ці загрозливі актори "лише стають розумнішими."
Moonlock відстежує кампанію шкідливого програмного забезпечення з серпня і наразі виявив принаймні чотири активні операції, які націлені на користувачів Ledger.
Крім того, дослідники також виявили, що форуми даркнету все частіше рекламують шкідливе програмне забезпечення з можливостями «anti-Ledger», хоча в одному випадку рекламовані фішингові функції ще не працювали повною мірою.
Дослідники припустили, що ці функції все ще можуть бути в розробці або "очікуються в майбутніх оновленнях".
“Це не просто крадіжка. Це високопрофесійна спроба обдурити один з найнадійніших інструментів у світі криптовалют. І злодії не здаються,” сказали дослідники Moonlock.
Інші вектори атак, націлені на користувачів Ledger
Протягом останнього року користувачі Ledger стикалися з різноманітними методами фішингу.
В одному дописі на Reddit від січня 2024 року жертва описала, як її комп'ютер було тихо скомпрометовано, що призвело до крадіжки Bitcoin, Ethereum, Cardano та Litecoin на суму 15 000 доларів після того, як вони ввели їхню початкову фразу в те, що, на їхню думку, було запитом на скидання до заводських налаштувань у Ledger Live.
Зловмисники також використали канали спільноти. 11 травня 2025 року обліковий запис модератора на офіційному сервері Discord Ledger був скомпрометований.
Зловмисник використовував підвищені права доступу, щоб вимкнути попередження від законних користувачів, і розгорнув бота, який публікував посилання на фішинговий сайт, що імітує сторінку перевірки Ledger.
Тим часом, наприкінці квітня, шахраї надіслали фізичні листи користувачам, видаючи себе за офіційну комунікацію Ledger.
Ці листи містили брендування компанії, номер посилання та QR-код, що направляв одержувачів ввести свою семеневу фразу для так званого «критичного оновлення безпеки».
Як залишатися в безпеці?
Moonlock порадив користувачам уникати введення своєї 24-словної фрази відновлення в будь-який додаток, веб-сайт або форму, незалежно від того, наскільки легітимними вони здавалися.
Попередження про "критичну помилку" або запити на перевірку гаманця майже завжди були ознакою шахрайства.
Фірма також закликала користувачів завантажувати Ledger Live виключно з офіційних джерел і попередила, що жодна справжня служба Ledger ніколи не запитуватиме фразу відновлення за жодних обставин.
Публікація "Ось як шахраї націлюються на користувачів гаманців Ledger, щоб вкрасти криптовалюту на macOS" вперше з'явилася на Invezz
Переглянути оригінал
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
Ось як шахраї намагаються націлитися на користувачів гаманців Ledger, щоб вкрасти криптовалюту на macOS
Згідно зі звітом фірми з кібербезпеки Moonlock Lab, зловмисники розгортають шкідливе програмне забезпечення, яке замінює законну програму Ledger Live на двійник, призначений для крадіжки фраз відновлення з 24 слів користувачів і, в деяких випадках, криптоактивів.
Після введення ці ці фрази передаються на сервери, контрольовані зловмисниками, що дозволяє їм миттєво вичерпувати криптовалютні гаманці жертв.
Як це відбувається?
Кампанія покладається на варіант Atomic macOS Stealer, який, за словами Moonlock, було виявлено на понад 2,800 скомпрометованих веб-сайтах.
Atomic Stealer, також відомий як AMOS (Atomic macOS Stealer), є штамом шкідливого ПЗ, що призначений для зараження систем macOS та викрадення чутливої інформації користувача.
Вперше виявлений на початку 2023 року, він швидко набрав популярності на підпільних форумах завдяки своїй моделі malware-as-a-service (MaaS), де кіберзлочинці можуть орендувати його та проводити атаки без технічних знань.
Як тільки користувач завантажує шкідливе ПЗ, воно не тільки збирає паролі, нотатки та дані гаманця, але й замінює справжній додаток Ledger Live на клон.
Шкідливий додаток потім викликає оманливе сповіщення про "підозрільну активність", закликаючи користувача ввести свою seed-фразу, щоб нібито забезпечити свій гаманець.
Спочатку, зазначив Moonlock, клонований додаток використовувався лише для викрадення чутливих даних користувачів, але з тих пір зловмисники "навчилися викрадати фрази-відновлення і очищати гаманці своїх жертв."
Дослідники Moonlock відстежили принаймні чотири кампанії, які використовують цей метод, і попередили, що ці загрозливі актори "лише стають розумнішими."
Moonlock відстежує кампанію шкідливого програмного забезпечення з серпня і наразі виявив принаймні чотири активні операції, які націлені на користувачів Ledger.
Крім того, дослідники також виявили, що форуми даркнету все частіше рекламують шкідливе програмне забезпечення з можливостями «anti-Ledger», хоча в одному випадку рекламовані фішингові функції ще не працювали повною мірою.
Дослідники припустили, що ці функції все ще можуть бути в розробці або "очікуються в майбутніх оновленнях".
“Це не просто крадіжка. Це високопрофесійна спроба обдурити один з найнадійніших інструментів у світі криптовалют. І злодії не здаються,” сказали дослідники Moonlock.
Інші вектори атак, націлені на користувачів Ledger
Протягом останнього року користувачі Ledger стикалися з різноманітними методами фішингу.
В одному дописі на Reddit від січня 2024 року жертва описала, як її комп'ютер було тихо скомпрометовано, що призвело до крадіжки Bitcoin, Ethereum, Cardano та Litecoin на суму 15 000 доларів після того, як вони ввели їхню початкову фразу в те, що, на їхню думку, було запитом на скидання до заводських налаштувань у Ledger Live.
Зловмисники також використали канали спільноти. 11 травня 2025 року обліковий запис модератора на офіційному сервері Discord Ledger був скомпрометований.
Зловмисник використовував підвищені права доступу, щоб вимкнути попередження від законних користувачів, і розгорнув бота, який публікував посилання на фішинговий сайт, що імітує сторінку перевірки Ledger.
Тим часом, наприкінці квітня, шахраї надіслали фізичні листи користувачам, видаючи себе за офіційну комунікацію Ledger.
Ці листи містили брендування компанії, номер посилання та QR-код, що направляв одержувачів ввести свою семеневу фразу для так званого «критичного оновлення безпеки».
Як залишатися в безпеці?
Moonlock порадив користувачам уникати введення своєї 24-словної фрази відновлення в будь-який додаток, веб-сайт або форму, незалежно від того, наскільки легітимними вони здавалися.
Попередження про "критичну помилку" або запити на перевірку гаманця майже завжди були ознакою шахрайства.
Фірма також закликала користувачів завантажувати Ledger Live виключно з офіційних джерел і попередила, що жодна справжня служба Ledger ніколи не запитуватиме фразу відновлення за жодних обставин.
Публікація "Ось як шахраї націлюються на користувачів гаманців Ledger, щоб вкрасти криптовалюту на macOS" вперше з'явилася на Invezz