Selon Cointelegraph, les cybercriminels déploient de fausses applications Ledger Live pour compromettre les avoirs en cryptomonnaie des utilisateurs de macOS via des logiciels malveillants conçus pour voler des phrases de récupération. Une entreprise de cybersécurité, Moonlock, a rapporté le 22 mai que le logiciel malveillant remplace l'application Ledger Live authentique sur les appareils des victimes, incitant les utilisateurs à saisir leurs phrases de récupération via un message pop-up trompeur.
Au début, les attaquants ont utilisé l'application clonée pour accéder aux mots de passe, aux notes et aux détails du portefeuille, obtenant un aperçu des actifs du portefeuille sans la possibilité d'extraire des fonds. Cependant, en l'espace d'un an, ils ont amélioré leurs techniques pour voler des phrases de récupération et vider les portefeuilles des victimes. Une méthode employée par les escrocs implique l'Atomic macOS Stealer, un outil conçu pour dérober des données sensibles. Moonlock a identifié ce voleur sur au moins 2 800 sites web compromis. Une fois qu'un appareil est infecté, l'Atomic macOS Stealer capture des données personnelles, des mots de passe, des notes et des détails de portefeuille, remplaçant l'application Ledger Live légitime par une version contrefaite. L'application contrefaite émet alors une alerte convaincante concernant une activité suspecte, incitant les utilisateurs à saisir leurs phrases de récupération. Une fois saisie, la phrase de récupération est transmise à un serveur contrôlé par les attaquants, exposant presque instantanément les actifs de l'utilisateur.
Moonlock surveille cette campagne de logiciels malveillants, qui est active depuis août, notant au moins quatre campagnes en cours. La société estime que les hackers deviennent de plus en plus sophistiqués. Sur le dark web, des acteurs de la menace commercialisent des logiciels malveillants avec des fonctionnalités "anti-Ledger". Cependant, Moonlock a observé qu'un exemple manquait de la fonctionnalité complète de phishing anti-Ledger annoncée, ce qui suggère que ces fonctionnalités pourraient encore être en développement ou à venir dans de futures mises à jour. Moonlock avertit qu'il ne s'agit pas seulement de vol, mais d'un effort calculé pour surmonter l'un des outils les plus fiables dans le monde des cryptomonnaies. Les discussions autour des schémas anti-Ledger s'intensifient sur les forums du dark web, indiquant que la prochaine vague d'attaques est déjà en train de se former. On s'attend à ce que les hackers continuent d'exploiter la confiance que les propriétaires de cryptomonnaies placent dans Ledger Live.
Pour se protéger contre de telles escroqueries de logiciels malveillants, Moonlock conseille aux utilisateurs d'être prudents face à toute page qui avertit d'une erreur critique et demande une phrase de récupération de 24 mots. Les utilisateurs ne devraient jamais partager leurs phrases de récupération avec quiconque ou les saisir sur un site web, quelle que soit sa légitimité, et ne devraient télécharger Ledger Live que depuis sa source officielle. Ledger n'a pas encore répondu à la demande de commentaire de Cointelegraph.