Los usuarios de wallets Ledger están siendo objetivo de una sofisticada campaña de phishing que involucra aplicaciones falsas de Ledger Live en macOS.
Según un informe de la firma de ciberseguridad Moonlock Lab, los atacantes están desplegando malware que reemplaza la aplicación legítima Ledger Live con una similar diseñada para robar las frases de recuperación de 24 palabras de los usuarios y, en algunos casos, activos cripto.
Una vez ingresadas, estas frases se transmiten a servidores controlados por atacantes, lo que les permite drenar instantáneamente las billeteras de criptomonedas de las víctimas.
¿Cómo sucede?
La campaña se basa en una variante del Atomic macOS Stealer, que Moonlock dijo que se ha encontrado en más de 2,800 sitios web comprometidos.
Atomic Stealer, también conocido como AMOS (Atomic macOS Stealer), es una cepa de malware diseñada para infectar sistemas macOS y robar información sensible del usuario.
Primero observado a principios de 2023, rápidamente ganó tracción en foros subterráneos debido a su modelo de malware como servicio (MaaS), donde los ciberdelincuentes pueden alquilarlo y llevar a cabo ataques sin experiencia técnica.
Una vez que un usuario descarga el malware, no solo recopila contraseñas, notas y datos de la billetera, sino que también intercambia la aplicación real de Ledger Live por un clon.
La aplicación falsa luego activa una alerta engañosa sobre "actividad sospechosa", lo que lleva al usuario a ingresar su frase semilla para supuestamente asegurar su billetera.
Inicialmente, señaló Moonlock, la aplicación clonada solo se usaba para robar datos sensibles de los usuarios, pero los atacantes desde entonces "han aprendido a robar frases semilla y vaciar las billeteras de sus víctimas."
Los investigadores de Moonlock han rastreado al menos cuatro campañas en curso que utilizan este método y advirtieron que estos actores de amenazas "solo están volviéndose más inteligentes."
Moonlock ha estado rastreando la campaña de malware desde agosto y hasta ahora ha identificado al menos cuatro operaciones activas que tienen como objetivo a los usuarios de Ledger.
Sumando a la preocupación, los investigadores también encontraron foros de la dark web que publicitan cada vez más malware con capacidades "anti-Ledger", aunque en un caso, las características de phishing anunciadas aún no estaban completamente operativas.
Estos podrían estar todavía en desarrollo o "próximos en futuras actualizaciones", especularon los investigadores.
“Esto no es solo un robo. Es un esfuerzo de alto riesgo para superar una de las herramientas más confiables en el mundo de las criptomonedas. Y los ladrones no se están echando atrás”, dijeron los investigadores de Moonlock.
Otros vectores de ataque que apuntan a usuarios de Ledger
En el último año, los usuarios de Ledger se han enfrentado a una variedad de tácticas de phishing.
En una publicación de Reddit de enero de 2024, una víctima describió cómo su computadora fue comprometida silenciosamente, lo que llevó al robo de $15,000 en Bitcoin, Ethereum, Cardano y Litecoin después de ingresar su frase semilla en lo que creían que era un aviso de restablecimiento de fábrica en Ledger Live.
Los atacantes también han explotado los canales de la comunidad. El 11 de mayo de 2025, se comprometió una cuenta de moderador en el servidor oficial de Discord de Ledger.
El atacante utilizó permisos elevados para silenciar las advertencias de usuarios legítimos y desplegó un bot que publicó enlaces a un sitio de phishing que imitaba una página de verificación de Ledger.
Mientras tanto, a finales de abril, los estafadores enviaron cartas físicas a los usuarios haciéndose pasar por comunicaciones oficiales de Ledger.
Estas cartas incluían la marca de la empresa, un número de referencia y un código QR que dirigía a los destinatarios a ingresar su frase semilla para una supuesta "actualización crítica de seguridad".
¿Cómo mantenerse seguro?
Moonlock aconsejó a los usuarios que evitaran ingresar su frase de recuperación de 24 palabras en cualquier aplicación, sitio web o formulario, independientemente de cuán legítimo pareciera.
Las advertencias de "error crítico" o las solicitudes de verificación de la billetera casi siempre eran señales de una estafa.
La firma también instó a los usuarios a descargar Ledger Live exclusivamente de fuentes oficiales y advirtió que ningún servicio genuino de Ledger pediría jamás una frase de recuperación bajo ninguna circunstancia.
La publicación Aquí se explica cómo los estafadores están apuntando a los usuarios de la billetera Ledger para robar criptomonedas en macOS apareció primero en Invezz
Ver originales
El contenido es solo de referencia, no una solicitud u oferta. No se proporciona asesoramiento fiscal, legal ni de inversión. Consulte el Descargo de responsabilidad para obtener más información sobre los riesgos.
Así es como los estafadores están atacando a los usuarios de billeteras Ledger para robar cripto en macOS
Según un informe de la firma de ciberseguridad Moonlock Lab, los atacantes están desplegando malware que reemplaza la aplicación legítima Ledger Live con una similar diseñada para robar las frases de recuperación de 24 palabras de los usuarios y, en algunos casos, activos cripto.
Una vez ingresadas, estas frases se transmiten a servidores controlados por atacantes, lo que les permite drenar instantáneamente las billeteras de criptomonedas de las víctimas.
¿Cómo sucede?
La campaña se basa en una variante del Atomic macOS Stealer, que Moonlock dijo que se ha encontrado en más de 2,800 sitios web comprometidos.
Atomic Stealer, también conocido como AMOS (Atomic macOS Stealer), es una cepa de malware diseñada para infectar sistemas macOS y robar información sensible del usuario.
Primero observado a principios de 2023, rápidamente ganó tracción en foros subterráneos debido a su modelo de malware como servicio (MaaS), donde los ciberdelincuentes pueden alquilarlo y llevar a cabo ataques sin experiencia técnica.
Una vez que un usuario descarga el malware, no solo recopila contraseñas, notas y datos de la billetera, sino que también intercambia la aplicación real de Ledger Live por un clon.
La aplicación falsa luego activa una alerta engañosa sobre "actividad sospechosa", lo que lleva al usuario a ingresar su frase semilla para supuestamente asegurar su billetera.
Inicialmente, señaló Moonlock, la aplicación clonada solo se usaba para robar datos sensibles de los usuarios, pero los atacantes desde entonces "han aprendido a robar frases semilla y vaciar las billeteras de sus víctimas."
Los investigadores de Moonlock han rastreado al menos cuatro campañas en curso que utilizan este método y advirtieron que estos actores de amenazas "solo están volviéndose más inteligentes."
Moonlock ha estado rastreando la campaña de malware desde agosto y hasta ahora ha identificado al menos cuatro operaciones activas que tienen como objetivo a los usuarios de Ledger.
Sumando a la preocupación, los investigadores también encontraron foros de la dark web que publicitan cada vez más malware con capacidades "anti-Ledger", aunque en un caso, las características de phishing anunciadas aún no estaban completamente operativas.
Estos podrían estar todavía en desarrollo o "próximos en futuras actualizaciones", especularon los investigadores.
“Esto no es solo un robo. Es un esfuerzo de alto riesgo para superar una de las herramientas más confiables en el mundo de las criptomonedas. Y los ladrones no se están echando atrás”, dijeron los investigadores de Moonlock.
Otros vectores de ataque que apuntan a usuarios de Ledger
En el último año, los usuarios de Ledger se han enfrentado a una variedad de tácticas de phishing.
En una publicación de Reddit de enero de 2024, una víctima describió cómo su computadora fue comprometida silenciosamente, lo que llevó al robo de $15,000 en Bitcoin, Ethereum, Cardano y Litecoin después de ingresar su frase semilla en lo que creían que era un aviso de restablecimiento de fábrica en Ledger Live.
Los atacantes también han explotado los canales de la comunidad. El 11 de mayo de 2025, se comprometió una cuenta de moderador en el servidor oficial de Discord de Ledger.
El atacante utilizó permisos elevados para silenciar las advertencias de usuarios legítimos y desplegó un bot que publicó enlaces a un sitio de phishing que imitaba una página de verificación de Ledger.
Mientras tanto, a finales de abril, los estafadores enviaron cartas físicas a los usuarios haciéndose pasar por comunicaciones oficiales de Ledger.
Estas cartas incluían la marca de la empresa, un número de referencia y un código QR que dirigía a los destinatarios a ingresar su frase semilla para una supuesta "actualización crítica de seguridad".
¿Cómo mantenerse seguro?
Moonlock aconsejó a los usuarios que evitaran ingresar su frase de recuperación de 24 palabras en cualquier aplicación, sitio web o formulario, independientemente de cuán legítimo pareciera.
Las advertencias de "error crítico" o las solicitudes de verificación de la billetera casi siempre eran señales de una estafa.
La firma también instó a los usuarios a descargar Ledger Live exclusivamente de fuentes oficiales y advirtió que ningún servicio genuino de Ledger pediría jamás una frase de recuperación bajo ninguna circunstancia.
La publicación Aquí se explica cómo los estafadores están apuntando a los usuarios de la billetera Ledger para robar criptomonedas en macOS apareció primero en Invezz