Moonlock Reports New Malware Campaign Targeting Ledger Hardware Wallets

Resumo

• Cibercriminosos estão usando aplicativos falsos do Ledger Live para roubar criptomoedas de usuários do macOS substituindo o aplicativo real por clones maliciosos.

• O malware solicita que os usuários insiram suas frases-semente através de alertas de segurança falsos, e então envia esses dados para servidores controlados pelos atacantes.

• O Atomic macOS Stealer foi encontrado em pelo menos 2.800 sites hackeados e está sendo usado para distribuir esses aplicativos falsos do Ledger.

• A Moonlock rastreou pelo menos quatro campanhas ativas de malware desde agosto visando usuários do Ledger.

• Fóruns da dark web mostram um aumento na conversa sobre esquemas 'anti-Ledger', com atores de ameaça anunciando ferramentas de malware especializadas.

Cibercriminosos desenvolveram malware sofisticado que substitui aplicações legítimas do Ledger Live em dispositivos macOS para roubar criptomoedas. Os aplicativos falsos enganam os usuários para revelar suas frases-semente através de alertas de segurança convincentes.

A empresa de cibersegurança Moonlock descobriu a campanha de malware em um relatório de 22 de maio. O software malicioso substitui completamente o aplicativo verdadeiro Ledger Live nos computadores das vítimas. Uma vez instalado, exibe mensagens pop-up falsas afirmando que atividade suspeita foi detectada na carteira do usuário.

Os alertas falsos pedem aos usuários que insiram sua frase-semente de 24 palavras para verificação. Quando os usuários concordam, o malware imediatamente envia essa informação sensível para servidores controlados pelos atacantes. Isso dá aos criminosos acesso completo para esvaziar as carteiras de criptomoedas da vítima em segundos.

Pesquisadores da Moonlock descobriram que os atacantes inicialmente podiam apenas roubar senhas e detalhes da carteira. No entanto, os criminosos evoluíram seus métodos ao longo do último ano. Eles agora se concentram especificamente em extrair frases-semente, que fornecem acesso completo à carteira.

Como o Ataque Funciona

O método principal de entrega envolve o malware Atomic macOS Stealer. Este software foi descoberto em pelo menos 2.800 sites comprometidos, de acordo com a investigação da Moonlock. O stealer primeiro infecta o dispositivo alvo através desses sites maliciosos.

Cibercriminosos estão comprometendo sites para espalhar malware para macOS novamente.

Desta vez: Atomic Stealer oculto em instaladores de gerenciadores de senhas falsos.

Não confie em cada download. Nosso último relatório explica o porquê. https://t.co/MnL0Sk2A3o #macOS #Malware #Cibersegurança #AtomicStealer

— Moonlock (@moonlock_com) 20 de maio de 2025

Após a infecção bem-sucedida, o Atomic macOS Stealer coleta dados pessoais, incluindo senhas e notas. Ele então localiza e remove a aplicação legítima do Ledger Live. O malware a substitui por uma versão falsa idêntica que contém o código malicioso.

A substituição acontece de forma transparente sem alertar o usuário. A maioria das vítimas permanece inconsciente de que seu aplicativo Ledger Live foi comprometido. O aplicativo falso funciona normalmente até que acione o alerta de segurança fraudulento.

Cronograma e Escopo da Campanha

A Moonlock tem monitorado essa campanha específica de malware desde agosto de 2024. Pesquisadores identificaram pelo menos quatro campanhas ativas separadas visando usuários do Ledger. Os ataques parecem estar aumentando em frequência e sofisticação.

Fóruns da dark web mostram uma discussão crescente sobre esquemas 'anti-Ledger' entre cibercriminosos. Atores de ameaça estão ativamente anunciando ferramentas de malware com recursos especializados para direcionar usuários de carteiras de hardware Ledger. No entanto, algumas ferramentas anunciadas examinadas pela Moonlock careciam da funcionalidade completa prometida pelos vendedores.

A empresa de cibersegurança acredita que esses recursos ausentes ainda possam estar em desenvolvimento. Atualizações futuras para o malware poderiam incluir capacidades anti-Ledger mais avançadas. Isso sugere que a ameaça provavelmente continuará evoluindo.

Prevenção e Medidas de Segurança

Especialistas em segurança recomendam várias etapas para evitar esses ataques. Os usuários devem ser suspeitos de qualquer mensagem solicitando sua frase de recuperação de 24 palavras. Serviços legítimos nunca pedem aos usuários que insiram frases-semente através de alertas pop-up ou sites.

Baixe o Ledger Live apenas de fontes oficiais para evitar versões comprometidas. Os usuários também devem verificar regularmente suas instalações de aplicativos e ter cautela ao visitar sites desconhecidos. Qualquer alerta de segurança inesperado deve ser verificado através dos canais de suporte oficiais da Ledger antes de tomar uma ação.

A pesquisa da Moonlock mostra que os criminosos estão especificamente visando a confiança que os usuários depositam na reputação da Ledger. Os ataques exploram a confiança dos usuários na marca Ledger criando réplicas convincentes do software oficial.

A empresa de cibersegurança acompanhou essa campanha por oito meses sem sinais de desaceleração. A atividade na dark web sugere que ataques mais sofisticados visando usuários do Ledger estão sendo planejados para implantação futura.

O post "Moonlock Reports New Malware Campaign Targeting Ledger Hardware Wallets" apareceu primeiro no Blockonomi.