Os utilizadores da carteira Ledger estão a ser alvo de uma sofisticada campanha de phishing que envolve aplicações falsas do Ledger Live no macOS.
De acordo com um relatório da empresa de cibersegurança Moonlock Lab, os atacantes estão a implementar malware que substitui a aplicação legítima Ledger Live por uma semelhante, projetada para roubar as frases de recuperação de 24 palavras dos utilizadores e, em alguns casos, ativos criptográficos.
Uma vez inseridas, essas frases são transmitidas para servidores controlados por atacantes, permitindo que eles esvaziem instantaneamente as carteiras de criptomoedas das vítimas.
Como isso acontece?
A campanha depende de uma variante do Atomic macOS Stealer, que a Moonlock afirmou ter sido encontrada em mais de 2.800 sites comprometidos.
Atomic Stealer, também conhecido como AMOS (Atomic macOS Stealer), é uma variante de malware projetada para infectar sistemas macOS e roubar informações sensíveis dos usuários.
Primeiramente observado no início de 2023, rapidamente ganhou tração em fóruns subterrâneos devido ao seu modelo de malware como serviço (MaaS), onde cibercriminosos podem alugá-lo e realizar ataques sem expertise técnica.
Uma vez que um utilizador descarrega o malware, ele não só recolhe palavras-passe, notas e dados de carteira, mas também troca a verdadeira aplicação Ledger Live por uma clonada.
O aplicativo falso ativa então um alerta enganoso sobre "atividade suspeita", levando o usuário a inserir sua frase-semente para supostamente proteger sua carteira.
Inicialmente, a Moonlock observou que o aplicativo clonado era usado apenas para roubar dados sensíveis dos usuários, mas os atacantes desde então "aprenderam a roubar frases-semente e esvaziar as carteiras de suas vítimas."
Os pesquisadores da Moonlock rastrearam pelo menos quatro campanhas em andamento usando este método e alertaram que esses atores de ameaça estão "apenas ficando mais inteligentes."
A Moonlock tem monitorizado a campanha de malware desde agosto e até agora identificou pelo menos quatro operações ativas a direcionar-se a utilizadores da Ledger.
Adicionando à preocupação, os investigadores também descobriram que fóruns da dark web estão cada vez mais a anunciar malware com capacidades "anti-Ledger", embora em um caso, as funcionalidades de phishing anunciadas ainda não estivessem totalmente operacionais.
Estes ainda poderiam estar em desenvolvimento ou "previstos para futuras atualizações", especularam os pesquisadores.
“Isto não é apenas um roubo. É um esforço de alto risco para superar uma das ferramentas mais confiáveis no mundo cripto. E os ladrões não estão a recuar,” disseram os investigadores da Moonlock.
Outras vetores de ataque direcionados a utilizadores do Ledger
Ao longo do último ano, os utilizadores da Ledger enfrentaram uma variedade de táticas de phishing.
Num post do Reddit de janeiro de 2024, uma vítima descreveu como o seu computador foi silenciosamente comprometido, levando ao roubo de $15,000 em Bitcoin, Ethereum, Cardano e Litecoin após inserir a sua frase-semente no que acreditavam ser um aviso de redefinição de fábrica no Ledger Live.
Os atacantes também exploraram canais da comunidade. Em 11 de maio de 2025, uma conta de moderador no servidor oficial do Discord da Ledger foi comprometida.
O atacante usou permissões elevadas para silenciar avisos de usuários legítimos e implantou um bot que postou links para um site de phishing que imita uma página de verificação da Ledger.
Entretanto, no final de abril, golpistas enviaram cartas físicas aos utilizadores a impersonar a comunicação oficial da Ledger.
Estas cartas incluíam a marca da empresa, um número de referência e um código QR que direcionava os destinatários a inserir a sua frase-semente para uma suposta "atualização crítica de segurança".
Como ficar seguro?
A Moonlock aconselhou os utilizadores a evitar introduzir a sua frase de recuperação de 24 palavras em qualquer app, site ou formulário, independentemente de quão legítimos parecessem.
Os avisos de um "erro crítico" ou os pedidos de verificação da carteira eram quase sempre sinais de um golpe.
A empresa também instou os utilizadores a descarregar o Ledger Live exclusivamente de fontes oficiais e avisou que nenhum serviço genuíno da Ledger jamais pediria uma frase de recuperação em nenhuma circunstância.
O post Aqui está como os golpistas estão a atacar os utilizadores da carteira Ledger para roubar criptomoedas no macOS apareceu primeiro no Invezz
Ver original
O conteúdo é apenas para referência, não uma solicitação ou oferta. Nenhum aconselhamento fiscal, de investimento ou jurídico é fornecido. Consulte a isenção de responsabilidade para obter mais informações sobre riscos.
Aqui está como os golpistas estão a direcionar os utilizadores da carteira Ledger para roubar criptomoedas no macOS
De acordo com um relatório da empresa de cibersegurança Moonlock Lab, os atacantes estão a implementar malware que substitui a aplicação legítima Ledger Live por uma semelhante, projetada para roubar as frases de recuperação de 24 palavras dos utilizadores e, em alguns casos, ativos criptográficos.
Uma vez inseridas, essas frases são transmitidas para servidores controlados por atacantes, permitindo que eles esvaziem instantaneamente as carteiras de criptomoedas das vítimas.
Como isso acontece?
A campanha depende de uma variante do Atomic macOS Stealer, que a Moonlock afirmou ter sido encontrada em mais de 2.800 sites comprometidos.
Atomic Stealer, também conhecido como AMOS (Atomic macOS Stealer), é uma variante de malware projetada para infectar sistemas macOS e roubar informações sensíveis dos usuários.
Primeiramente observado no início de 2023, rapidamente ganhou tração em fóruns subterrâneos devido ao seu modelo de malware como serviço (MaaS), onde cibercriminosos podem alugá-lo e realizar ataques sem expertise técnica.
Uma vez que um utilizador descarrega o malware, ele não só recolhe palavras-passe, notas e dados de carteira, mas também troca a verdadeira aplicação Ledger Live por uma clonada.
O aplicativo falso ativa então um alerta enganoso sobre "atividade suspeita", levando o usuário a inserir sua frase-semente para supostamente proteger sua carteira.
Inicialmente, a Moonlock observou que o aplicativo clonado era usado apenas para roubar dados sensíveis dos usuários, mas os atacantes desde então "aprenderam a roubar frases-semente e esvaziar as carteiras de suas vítimas."
Os pesquisadores da Moonlock rastrearam pelo menos quatro campanhas em andamento usando este método e alertaram que esses atores de ameaça estão "apenas ficando mais inteligentes."
A Moonlock tem monitorizado a campanha de malware desde agosto e até agora identificou pelo menos quatro operações ativas a direcionar-se a utilizadores da Ledger.
Adicionando à preocupação, os investigadores também descobriram que fóruns da dark web estão cada vez mais a anunciar malware com capacidades "anti-Ledger", embora em um caso, as funcionalidades de phishing anunciadas ainda não estivessem totalmente operacionais.
Estes ainda poderiam estar em desenvolvimento ou "previstos para futuras atualizações", especularam os pesquisadores.
“Isto não é apenas um roubo. É um esforço de alto risco para superar uma das ferramentas mais confiáveis no mundo cripto. E os ladrões não estão a recuar,” disseram os investigadores da Moonlock.
Outras vetores de ataque direcionados a utilizadores do Ledger
Ao longo do último ano, os utilizadores da Ledger enfrentaram uma variedade de táticas de phishing.
Num post do Reddit de janeiro de 2024, uma vítima descreveu como o seu computador foi silenciosamente comprometido, levando ao roubo de $15,000 em Bitcoin, Ethereum, Cardano e Litecoin após inserir a sua frase-semente no que acreditavam ser um aviso de redefinição de fábrica no Ledger Live.
Os atacantes também exploraram canais da comunidade. Em 11 de maio de 2025, uma conta de moderador no servidor oficial do Discord da Ledger foi comprometida.
O atacante usou permissões elevadas para silenciar avisos de usuários legítimos e implantou um bot que postou links para um site de phishing que imita uma página de verificação da Ledger.
Entretanto, no final de abril, golpistas enviaram cartas físicas aos utilizadores a impersonar a comunicação oficial da Ledger.
Estas cartas incluíam a marca da empresa, um número de referência e um código QR que direcionava os destinatários a inserir a sua frase-semente para uma suposta "atualização crítica de segurança".
Como ficar seguro?
A Moonlock aconselhou os utilizadores a evitar introduzir a sua frase de recuperação de 24 palavras em qualquer app, site ou formulário, independentemente de quão legítimos parecessem.
Os avisos de um "erro crítico" ou os pedidos de verificação da carteira eram quase sempre sinais de um golpe.
A empresa também instou os utilizadores a descarregar o Ledger Live exclusivamente de fontes oficiais e avisou que nenhum serviço genuíno da Ledger jamais pediria uma frase de recuperação em nenhuma circunstância.
O post Aqui está como os golpistas estão a atacar os utilizadores da carteira Ledger para roubar criptomoedas no macOS apareceu primeiro no Invezz