Пользователи кошельков Ledger становятся целью сложной фишинговой кампании, связанной с поддельными приложениями Ledger Live на macOS.
Согласно отчету кибербезопасной компании Moonlock Lab, злоумышленники используют вредоносное ПО, которое заменяет легитимное приложение Ledger Live на его аналог, предназначенный для кражи 24-словных фраз для восстановления пользователей и, в некоторых случаях, криптоактивов.
После ввода эти фразы передаются на серверы, контролируемые злоумышленниками, что позволяет им мгновенно опустошать криптовалютные кошельки жертв.
Как это происходит?
Кампания опирается на вариант Atomic macOS Stealer, который, по словам Moonlock, был обнаружен на более чем 2800 скомпрометированных веб-сайтах.
Atomic Stealer, также известный как AMOS (Atomic macOS Stealer), является шифровщиком, предназначенным для заражения систем macOS и кражи конфиденциальной пользовательской информации.
Впервые замеченное в начале 2023 года, оно быстро приобрело популярность на подпольных форумах благодаря своей модели malware-as-a-service (MaaS), где киберпреступники могут арендовать его и осуществлять атаки без технической подготовки.
После того как пользователь загрузит вредоносное ПО, оно не только собирает пароли, заметки и данные кошелька, но также заменяет настоящее приложение Ledger Live на клон.
Затем поддельное приложение вызывает обманчивое уведомление о «подозрительной активности», побуждая пользователя ввести свою сид-фразу, чтобы якобы защитить свой кошелек.
Изначально, как отметила Moonlock, клонированное приложение использовалось только для кражи конфиденциальных данных пользователей, но злоумышленники с тех пор "научились красть сид-фразы и опустошать кошельки своих жертв."
Исследователи Moonlock отслеживали как минимум четыре текущие кампании, использующие этот метод, и предупредили, что эти злоумышленники «только становятся умнее».
Moonlock отслеживает кампанию вредоносного ПО с августа и на данный момент выявил по меньшей мере четыре активные операции, нацеленные на пользователей Ledger.
В дополнение к беспокойству, исследователи также обнаружили, что форумы темной паутины все чаще рекламируют вредоносное ПО с возможностями "анти-Ledger", хотя в одном случае рекламируемые функции фишинга еще не были полностью активированы.
Исследователи предположили, что эти функции все еще могут находиться в разработке или "ожидаются в будущих обновлениях."
«Это не просто кража. Это попытка с высокими ставками перехитрить один из самых надежных инструментов в мире криптовалют. И воры не отступают», — заявили исследователи Moonlock.
Другие векторы атак, нацеленные на пользователей Ledger
За последний год пользователи Ledger столкнулись с рядом фишинговых тактик.
В одном посте на Reddit от января 2024 года жертва описала, как их компьютер был незаметно скомпрометирован, что привело к краже $15,000 в биткойнах, эфире, кардано и лайткойне после того, как они ввели свою сид-фразу в то, что считали запросом на сброс до заводских настроек в Ledger Live.
Злоумышленники также воспользовались каналами сообщества. 11 мая 2025 года аккаунт модератора на официальном сервере Discord Ledger был скомпрометирован.
Атакующий использовал повышенные права для отключения предупреждений от законных пользователей и развернул бота, который размещал ссылки на фишинговый сайт, имитирующий страницу проверки Ledger.
Тем временем, в конце апреля, мошенники отправили пользователям физические письма, выдавая себя за официальные сообщения Ledger.
В эти письма входили фирменный стиль компании, номер ссылки и QR-код, направляющий получателей ввести свою сид-фразу для предполагаемого "критического обновления безопасности".
Как оставаться в безопасности?
Moonlock порекомендовал пользователям избегать ввода своей 24-словной фразы восстановления в любые приложения, веб-сайты или формы, независимо от того, насколько законными они казались.
Предупреждения о "критической ошибке" или запросы на верификацию кошелька почти всегда были признаками мошенничества.
Компания также призвала пользователей загружать Ledger Live исключительно из официальных источников и предупредила, что никакая подлинная служба Ledger никогда не будет запрашивать фразу восстановления ни при каких обстоятельствах.
Пост "Вот как мошенники нацеливаются на пользователей кошелька Ledger, чтобы украсть криптовалюту на macOS" впервые появился на Invezz
Посмотреть Оригинал
Содержание носит исключительно справочный характер и не является предложением или офертой. Консультации по инвестициям, налогообложению или юридическим вопросам не предоставляются. Более подробную информацию о рисках см. в разделе «Дисклеймер».
Вот как мошенники нацеливаются на пользователей кошельков Ledger, чтобы украсть криптовалюту на macOS
Согласно отчету кибербезопасной компании Moonlock Lab, злоумышленники используют вредоносное ПО, которое заменяет легитимное приложение Ledger Live на его аналог, предназначенный для кражи 24-словных фраз для восстановления пользователей и, в некоторых случаях, криптоактивов.
После ввода эти фразы передаются на серверы, контролируемые злоумышленниками, что позволяет им мгновенно опустошать криптовалютные кошельки жертв.
Как это происходит?
Кампания опирается на вариант Atomic macOS Stealer, который, по словам Moonlock, был обнаружен на более чем 2800 скомпрометированных веб-сайтах.
Atomic Stealer, также известный как AMOS (Atomic macOS Stealer), является шифровщиком, предназначенным для заражения систем macOS и кражи конфиденциальной пользовательской информации.
Впервые замеченное в начале 2023 года, оно быстро приобрело популярность на подпольных форумах благодаря своей модели malware-as-a-service (MaaS), где киберпреступники могут арендовать его и осуществлять атаки без технической подготовки.
После того как пользователь загрузит вредоносное ПО, оно не только собирает пароли, заметки и данные кошелька, но также заменяет настоящее приложение Ledger Live на клон.
Затем поддельное приложение вызывает обманчивое уведомление о «подозрительной активности», побуждая пользователя ввести свою сид-фразу, чтобы якобы защитить свой кошелек.
Изначально, как отметила Moonlock, клонированное приложение использовалось только для кражи конфиденциальных данных пользователей, но злоумышленники с тех пор "научились красть сид-фразы и опустошать кошельки своих жертв."
Исследователи Moonlock отслеживали как минимум четыре текущие кампании, использующие этот метод, и предупредили, что эти злоумышленники «только становятся умнее».
Moonlock отслеживает кампанию вредоносного ПО с августа и на данный момент выявил по меньшей мере четыре активные операции, нацеленные на пользователей Ledger.
В дополнение к беспокойству, исследователи также обнаружили, что форумы темной паутины все чаще рекламируют вредоносное ПО с возможностями "анти-Ledger", хотя в одном случае рекламируемые функции фишинга еще не были полностью активированы.
Исследователи предположили, что эти функции все еще могут находиться в разработке или "ожидаются в будущих обновлениях."
«Это не просто кража. Это попытка с высокими ставками перехитрить один из самых надежных инструментов в мире криптовалют. И воры не отступают», — заявили исследователи Moonlock.
Другие векторы атак, нацеленные на пользователей Ledger
За последний год пользователи Ledger столкнулись с рядом фишинговых тактик.
В одном посте на Reddit от января 2024 года жертва описала, как их компьютер был незаметно скомпрометирован, что привело к краже $15,000 в биткойнах, эфире, кардано и лайткойне после того, как они ввели свою сид-фразу в то, что считали запросом на сброс до заводских настроек в Ledger Live.
Злоумышленники также воспользовались каналами сообщества. 11 мая 2025 года аккаунт модератора на официальном сервере Discord Ledger был скомпрометирован.
Атакующий использовал повышенные права для отключения предупреждений от законных пользователей и развернул бота, который размещал ссылки на фишинговый сайт, имитирующий страницу проверки Ledger.
Тем временем, в конце апреля, мошенники отправили пользователям физические письма, выдавая себя за официальные сообщения Ledger.
В эти письма входили фирменный стиль компании, номер ссылки и QR-код, направляющий получателей ввести свою сид-фразу для предполагаемого "критического обновления безопасности".
Как оставаться в безопасности?
Moonlock порекомендовал пользователям избегать ввода своей 24-словной фразы восстановления в любые приложения, веб-сайты или формы, независимо от того, насколько законными они казались.
Предупреждения о "критической ошибке" или запросы на верификацию кошелька почти всегда были признаками мошенничества.
Компания также призвала пользователей загружать Ledger Live исключительно из официальных источников и предупредила, что никакая подлинная служба Ledger никогда не будет запрашивать фразу восстановления ни при каких обстоятельствах.
Пост "Вот как мошенники нацеливаются на пользователей кошелька Ledger, чтобы украсть криптовалюту на macOS" впервые появился на Invezz