Według Cointelegraphu, cyberprzestępcy wdrażają fałszywe aplikacje Ledger Live, aby skompromitować kryptowaluty użytkowników macOS za pomocą złośliwego oprogramowania zaprojektowanego w celu kradzieży fraz seed. Firma zajmująca się cyberbezpieczeństwem, Moonlock, zgłosiła 22 maja, że złośliwe oprogramowanie zastępuje autentyczną aplikację Ledger Live na urządzeniach ofiar, zachęcając użytkowników do wprowadzenia swoich fraz seed poprzez zwodniczą wiadomość pop-up.
Początkowo napastnicy wykorzystywali sklonowaną aplikację do uzyskiwania dostępu do haseł, notatek i szczegółów portfela, zdobywając wgląd w aktywa portfela bez możliwości wyciągania funduszy. Jednak w ciągu roku udoskonalili swoje techniki, aby kraść frazy seed i opróżniać portfele ofiar. Jedna z metod wykorzystywanych przez oszustów polega na użyciu Atomic macOS Stealer, narzędzia stworzonego do kradzieży wrażliwych danych. Moonlock zidentyfikował tego stealer'a na co najmniej 2 800 skompromitowanych stronach internetowych. Gdy urządzenie zostanie zainfekowane, Atomic macOS Stealer przechwytuje dane osobowe, hasła, notatki i szczegóły portfela, zastępując autentyczną aplikację Ledger Live fałszywą wersją. Fałszywa aplikacja następnie wydaje przekonywujące ostrzeżenie o podejrzanej aktywności, zachęcając użytkowników do wprowadzenia swoich fraz seed. Po wprowadzeniu fraza seed jest przesyłana na serwer kontrolowany przez napastników, narażając aktywa użytkownika niemal natychmiast.
Moonlock monitoruje tę kampanię złośliwego oprogramowania, która jest aktywna od sierpnia, notując co najmniej cztery trwające kampanie. Firma uważa, że hakerzy stają się coraz bardziej wyrafinowani. W dark webie, aktorzy groźby sprzedają złośliwe oprogramowanie z funkcjami "anti-Ledger". Jednak Moonlock zauważył, że jeden przykład nie posiadał pełnej funkcjonalności phishingu anti-Ledger, co sugeruje, że te funkcje mogą być nadal w fazie rozwoju lub wkrótce pojawią się w przyszłych aktualizacjach. Moonlock ostrzega, że to nie jest tylko kradzież, ale wyrachowana próba przechytrzenia jednego z najbardziej zaufanych narzędzi w świecie kryptowalut. Dyskusje na temat schematów anti-Ledger zaostrzają się na forach dark web, co wskazuje, że kolejna fala ataków już się formuje. Spodziewa się, że hakerzy będą dalej wykorzystywać zaufanie, jakie właściciele kryptowalut pokładają w Ledger Live.
Aby chronić się przed takimi oszustwami złośliwego oprogramowania, Moonlock zaleca użytkownikom ostrożność wobec każdej strony, która ostrzega o krytycznym błędzie i prosi o 24-słowną frazę odzyskiwania. Użytkownicy nigdy nie powinni dzielić się swoimi frazami seed z nikim ani wprowadzać ich na żadnej stronie internetowej, niezależnie od jej legalności, i powinni pobierać Ledger Live tylko z oficjalnego źródła. Ledger jeszcze nie odpowiedział na prośbę Cointelegraph o komentarz.