Компания Moonlock обнаружила вредоносную кампанию, нацеленную на пользователей Ledger Live для macOS.
Злоумышленники заменяют официальное приложение фейковым, которое собирает сид-фразы и опустошает кошельки.
Поддельная версия Ledger Live внедряется через Atomic macOS Stealer — малварь, которая скрывается на взломанных сайтах. После заражения ПО похищает пароли, заметки и данные кошельков, а затем заменяет оригинальное приложение Ledger на фейковое.
Софт имитирует критическое уведомление о «подозрительной активности» и требует ввести сид-фразу. Как только пользователь вводит данные, они отправляются на серверы злоумышленников, позволяя мгновенно вывести средства.
По данным Moonlock, первая волна атак началась в августе 2024 года. За это время хакеры усовершенствовали методы: если раньше они могли лишь отслеживать активность в кошельках, то теперь научились красть сид-фразы.
В даркнете злоумышленники рекламируют вредоносное ПО с «анти-Ledger» функциями. Однако анализ Moonlock показал, что часть обещанных возможностей (например, обход защиты) пока не реализована. Эксперты предполагают, что эти функции могут добавить в будущих обновлениях.
«Это не просто кража, а целенаправленная атака на один из самых надежных инструментов в криптоиндустрии. Преступники не остановятся», — заявили в Moonlock.
Напомним, в апреле клиенты Ledger начали получать физические письма с логотипом компании. В них требовали верифицировать адрес через ввод сид-фразы.
В мае Ledger восстановил контроль над Discord-каналом после атаки хакеров.
