Người dùng ví Ledger đang trở thành mục tiêu của một chiến dịch lừa đảo tinh vi liên quan đến các ứng dụng Ledger Live giả mạo trên macOS.
Theo báo cáo từ công ty an ninh mạng Moonlock Lab, những kẻ tấn công đang triển khai phần mềm độc hại thay thế ứng dụng Ledger Live hợp pháp bằng một phiên bản giả mạo được thiết kế để đánh cắp cụm từ phục hồi 24 từ của người dùng và, trong một số trường hợp, tài sản tiền điện tử.
Khi đã nhập, những cụm từ này sẽ được truyền đến các máy chủ do kẻ tấn công kiểm soát, cho phép họ ngay lập tức rút sạch ví tiền điện tử của nạn nhân.
Nó xảy ra như thế nào?
Chiến dịch dựa vào một biến thể của trình đánh cắp macOS Atomic, mà Moonlock cho biết đã được tìm thấy trên hơn 2.800 trang web bị xâm phạm.
Atomic Stealer, còn được biết đến với tên gọi AMOS (Atomic macOS Stealer), là một biến thể phần mềm độc hại được thiết kế để lây nhiễm vào các hệ thống macOS và đánh cắp thông tin nhạy cảm của người dùng.
Được quan sát lần đầu tiên vào đầu năm 2023, nó nhanh chóng thu hút được sự chú ý trên các diễn đàn ngầm nhờ mô hình (MaaS) phần mềm độc hại dưới dạng dịch vụ, nơi tội phạm mạng có thể thuê nó và triển khai các cuộc tấn công mà không cần chuyên môn kỹ thuật.
Khi một người dùng tải xuống phần mềm độc hại, nó không chỉ thu thập mật khẩu, ghi chú và dữ liệu ví mà còn thay thế ứng dụng Ledger Live thật bằng một bản sao.
Ứng dụng giả mạo sau đó kích hoạt một cảnh báo lừa đảo về "hoạt động đáng ngờ," khiến người dùng nhập cụm từ hạt giống của họ để supposedly bảo vệ ví của mình.
Ban đầu, Moonlock lưu ý, ứng dụng bị sao chép chỉ được sử dụng để đánh cắp dữ liệu nhạy cảm của người dùng, nhưng các kẻ tấn công đã "học cách đánh cắp cụm từ hạt giống và làm rỗng ví của nạn nhân."
Các nhà nghiên cứu Moonlock đã theo dõi ít nhất bốn chiến dịch đang diễn ra sử dụng phương pháp này và cảnh báo rằng những kẻ đe dọa này "chỉ ngày càng trở nên thông minh hơn."
Moonlock đã theo dõi chiến dịch phần mềm độc hại từ tháng Tám và cho đến nay đã xác định được ít nhất bốn hoạt động đang diễn ra nhắm vào người dùng Ledger.
Thêm vào mối quan ngại, các nhà nghiên cứu cũng phát hiện ra rằng các diễn đàn trên dark web ngày càng quảng cáo phần mềm độc hại với khả năng "chống Ledger", mặc dù trong một trường hợp, các tính năng lừa đảo được quảng cáo vẫn chưa hoạt động hoàn toàn.
Các tính năng này vẫn có thể đang trong quá trình phát triển hoặc "sẽ có trong các bản cập nhật trong tương lai", các nhà nghiên cứu suy đoán.
“Đây không chỉ là một vụ trộm. Đây là một nỗ lực có tính chất cao để vượt qua một trong những công cụ đáng tin cậy nhất trong thế giới crypto. Và những tên trộm không có ý định lùi bước,” các nhà nghiên cứu Moonlock cho biết.
Các vectơ tấn công khác nhắm vào người dùng Ledger
Trong năm qua, người dùng Ledger đã phải đối mặt với nhiều chiến thuật lừa đảo.
Trong một bài đăng trên Reddit từ tháng 1 năm 2024, một nạn nhân mô tả cách mà máy tính của họ bị xâm phạm một cách lén lút, dẫn đến việc $15,000 giá trị Bitcoin, Ethereum, Cardano và Litecoin bị đánh cắp sau khi họ nhập cụm từ khôi phục của mình vào cái mà họ tin là thông báo khôi phục mặc định trong Ledger Live.
Các kẻ tấn công cũng đã khai thác các kênh cộng đồng. Vào ngày 11 tháng 5 năm 2025, một tài khoản điều hành trong máy chủ Discord chính thức của Ledger đã bị xâm phạm.
Kẻ tấn công đã sử dụng quyền truy cập cao để tắt cảnh báo từ người dùng hợp pháp và triển khai một bot đăng các liên kết đến một trang lừa đảo giả mạo trang xác minh Ledger.
Trong khi đó, vào cuối tháng Tư, những kẻ lừa đảo đã gửi thư vật lý cho người dùng mạo danh thông tin liên lạc chính thức của Ledger.
Những bức thư này bao gồm thương hiệu công ty, một số tham chiếu và một mã QR hướng dẫn người nhận nhập cụm từ hạt giống của họ cho một "cập nhật bảo mật quan trọng" được cho là.
Làm thế nào để giữ an toàn?
Moonlock khuyên người dùng không nên nhập cụm từ phục hồi 24 từ của họ vào bất kỳ ứng dụng, trang web hoặc biểu mẫu nào, bất kể nó có vẻ hợp pháp đến đâu.
Các cảnh báo về "lỗi nghiêm trọng" hoặc yêu cầu xác minh ví hầu như luôn là dấu hiệu của một trò lừa đảo.
Công ty cũng kêu gọi người dùng tải xuống Ledger Live chỉ từ các nguồn chính thức và cảnh báo rằng không có dịch vụ Ledger nào yêu cầu cụm từ khôi phục trong bất kỳ hoàn cảnh nào.
Bài viết Đây là cách mà những kẻ lừa đảo đang nhắm mục tiêu đến người dùng ví Ledger để đánh cắp tiền điện tử trên macOS xuất hiện đầu tiên trên Invezz
Xem bản gốc
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
Đây là cách mà những kẻ lừa đảo đang nhắm đến người dùng ví Ledger để đánh cắp tiền điện tử trên macOS
Theo báo cáo từ công ty an ninh mạng Moonlock Lab, những kẻ tấn công đang triển khai phần mềm độc hại thay thế ứng dụng Ledger Live hợp pháp bằng một phiên bản giả mạo được thiết kế để đánh cắp cụm từ phục hồi 24 từ của người dùng và, trong một số trường hợp, tài sản tiền điện tử.
Khi đã nhập, những cụm từ này sẽ được truyền đến các máy chủ do kẻ tấn công kiểm soát, cho phép họ ngay lập tức rút sạch ví tiền điện tử của nạn nhân.
Nó xảy ra như thế nào?
Chiến dịch dựa vào một biến thể của trình đánh cắp macOS Atomic, mà Moonlock cho biết đã được tìm thấy trên hơn 2.800 trang web bị xâm phạm.
Atomic Stealer, còn được biết đến với tên gọi AMOS (Atomic macOS Stealer), là một biến thể phần mềm độc hại được thiết kế để lây nhiễm vào các hệ thống macOS và đánh cắp thông tin nhạy cảm của người dùng.
Được quan sát lần đầu tiên vào đầu năm 2023, nó nhanh chóng thu hút được sự chú ý trên các diễn đàn ngầm nhờ mô hình (MaaS) phần mềm độc hại dưới dạng dịch vụ, nơi tội phạm mạng có thể thuê nó và triển khai các cuộc tấn công mà không cần chuyên môn kỹ thuật.
Khi một người dùng tải xuống phần mềm độc hại, nó không chỉ thu thập mật khẩu, ghi chú và dữ liệu ví mà còn thay thế ứng dụng Ledger Live thật bằng một bản sao.
Ứng dụng giả mạo sau đó kích hoạt một cảnh báo lừa đảo về "hoạt động đáng ngờ," khiến người dùng nhập cụm từ hạt giống của họ để supposedly bảo vệ ví của mình.
Ban đầu, Moonlock lưu ý, ứng dụng bị sao chép chỉ được sử dụng để đánh cắp dữ liệu nhạy cảm của người dùng, nhưng các kẻ tấn công đã "học cách đánh cắp cụm từ hạt giống và làm rỗng ví của nạn nhân."
Các nhà nghiên cứu Moonlock đã theo dõi ít nhất bốn chiến dịch đang diễn ra sử dụng phương pháp này và cảnh báo rằng những kẻ đe dọa này "chỉ ngày càng trở nên thông minh hơn."
Moonlock đã theo dõi chiến dịch phần mềm độc hại từ tháng Tám và cho đến nay đã xác định được ít nhất bốn hoạt động đang diễn ra nhắm vào người dùng Ledger.
Thêm vào mối quan ngại, các nhà nghiên cứu cũng phát hiện ra rằng các diễn đàn trên dark web ngày càng quảng cáo phần mềm độc hại với khả năng "chống Ledger", mặc dù trong một trường hợp, các tính năng lừa đảo được quảng cáo vẫn chưa hoạt động hoàn toàn.
Các tính năng này vẫn có thể đang trong quá trình phát triển hoặc "sẽ có trong các bản cập nhật trong tương lai", các nhà nghiên cứu suy đoán.
“Đây không chỉ là một vụ trộm. Đây là một nỗ lực có tính chất cao để vượt qua một trong những công cụ đáng tin cậy nhất trong thế giới crypto. Và những tên trộm không có ý định lùi bước,” các nhà nghiên cứu Moonlock cho biết.
Các vectơ tấn công khác nhắm vào người dùng Ledger
Trong năm qua, người dùng Ledger đã phải đối mặt với nhiều chiến thuật lừa đảo.
Trong một bài đăng trên Reddit từ tháng 1 năm 2024, một nạn nhân mô tả cách mà máy tính của họ bị xâm phạm một cách lén lút, dẫn đến việc $15,000 giá trị Bitcoin, Ethereum, Cardano và Litecoin bị đánh cắp sau khi họ nhập cụm từ khôi phục của mình vào cái mà họ tin là thông báo khôi phục mặc định trong Ledger Live.
Các kẻ tấn công cũng đã khai thác các kênh cộng đồng. Vào ngày 11 tháng 5 năm 2025, một tài khoản điều hành trong máy chủ Discord chính thức của Ledger đã bị xâm phạm.
Kẻ tấn công đã sử dụng quyền truy cập cao để tắt cảnh báo từ người dùng hợp pháp và triển khai một bot đăng các liên kết đến một trang lừa đảo giả mạo trang xác minh Ledger.
Trong khi đó, vào cuối tháng Tư, những kẻ lừa đảo đã gửi thư vật lý cho người dùng mạo danh thông tin liên lạc chính thức của Ledger.
Những bức thư này bao gồm thương hiệu công ty, một số tham chiếu và một mã QR hướng dẫn người nhận nhập cụm từ hạt giống của họ cho một "cập nhật bảo mật quan trọng" được cho là.
Làm thế nào để giữ an toàn?
Moonlock khuyên người dùng không nên nhập cụm từ phục hồi 24 từ của họ vào bất kỳ ứng dụng, trang web hoặc biểu mẫu nào, bất kể nó có vẻ hợp pháp đến đâu.
Các cảnh báo về "lỗi nghiêm trọng" hoặc yêu cầu xác minh ví hầu như luôn là dấu hiệu của một trò lừa đảo.
Công ty cũng kêu gọi người dùng tải xuống Ledger Live chỉ từ các nguồn chính thức và cảnh báo rằng không có dịch vụ Ledger nào yêu cầu cụm từ khôi phục trong bất kỳ hoàn cảnh nào.
Bài viết Đây là cách mà những kẻ lừa đảo đang nhắm mục tiêu đến người dùng ví Ledger để đánh cắp tiền điện tử trên macOS xuất hiện đầu tiên trên Invezz