Les cybercriminels utilisent de fausses versions de l’application Ledger Live pour voler la crypto-monnaie des utilisateurs de Mac en les incitant à révéler leurs phrases de semences.
Selon la recherche de Laboratoire de lune et Brouillardces campagnes de phishing sont devenues plus sophistiquées depuis août 2024, passant du vol de données de base aux opérations complètes de drainage du portefeuille.
Ledger, un portefeuille matériel conçu pour garder les actifs cryptographiques sécurisés hors ligne, repose sur une phrase de graines de 12 ou 24 mots pour la récupération du portefeuille. Cette phrase est censée rester privée et hors ligne à tout moment.
Évolution des logiciels malveillants: du vol de données aux drains de portefeuille complets
Les versions initiales de ces fausses applications de grand livre ne pouvaient capturer que les mots de passe et les métadonnées de portefeuille. Maintenant, les logiciels malveillants comme Odyssey et Amos incluent des écrans de phishing convaincants à l’intérieur de fausses applications pour inciter les utilisateurs à entrer dans leurs phrases de semences. Ces phrases sont ensuite exfiltrées aux serveurs des attaquants, leur permettant de voler tous les actifs stockés.
En mars 2025, Moonlock Lab identifié Odyssey, un voleur de macOS créé par un acteur de menace nommé «Rodrigo». Il remplace l’application Ledger Live Ledger et affiche une fausse «erreur critique» pour convaincre les utilisateurs de taper leur phrase de semences sous une forme de phishing. Ces données sont ensuite envoyées à un serveur de commande et de contrôle (C2) via une structure URL spécifique.
Imitateurs et campagnes en expansion
Les tactiques de Rodrigo ont rapidement attiré l’attention. D’autres familles de logiciels malveillants comme AMOS ont adopté des techniques similaires. Une récente campagne AMOS a utilisé un fichier DMG (JandiInstaller.dmg) qui contourne le gardien de macOS et installe une version trojanisée de Ledger Live. Les victimes qui sont entrées dans leur phrase de récupération ont vu un faux message de «application corrompu» tandis que les attaquants ont drainé leurs portefeuilles.
En attendant, un utilisateur Web sombre passe @mentalPositive a prétendu offrir une fonctionnalité «anti-LEDGER» dans ses logiciels malveillants. Bien que Moonlock n’ait pas trouvé la fonctionnalité complète de phishing dans les échantillons analysés, les chaînes faisant référence à des domaines «Ledger Live» et Command and Control suggèrent que le développement est en cours.
Nouveaux vecteurs d’attaque identifiés par Jamf
En mai 2025, des chercheurs de JAMF ont découvert une autre campagne qui utilise un fichier DMG riche en Pyinstaller. Il charge une interface de phishing via IFRAME dans une fausse fenêtre Live Ledger. Le logiciel malveillant recueille des phrases de semences, des données du navigateur, des configurations de portefeuille et des informations système à l’aide d’une combinaison de scripts Applescript et Python pour maximiser le vol de données tout en échappant à la détection.
Quatre campagnes actives et une activité Web sombre croissante
Il y a maintenant quatre campagnes de logiciels malveillants actives connues ciblant les utilisateurs du grand livre:
- Odyssey par Rodrigo
- Le voleur de développement de mentalpositif
- Des clones basés sur Amos en utilisant
JandiInstaller.dmg - Une campagne de Jamf-documentée avec des pages de phishing chargé d’IFRAME
Tous reposent sur le phishing pour contourner le modèle de sécurité physique du grand livre, qui ne nécessite jamais d’entrée de phrase de graines via l’application ou le navigateur Web.
Comment protéger votre portefeuille
- Ne saisissez jamais votre phrase de semence sur une application ou un site Web. Utilisez uniquement le périphérique de grand livre lors de la configuration ou de la récupération.
- Télécharger Ledger Live uniquement depuis Site officiel de Ledger.
- Ignorer tout «erreur critique » ou « activité suspecte«Les pop-ups demandant des phrases de semences.
- Restez à jour en suivant des chercheurs en sécurité de confiance comme Laboratoire de lune et Brouillard.
Fin de compte: Cette nouvelle vague d’attaques de phishing montre que les pirates ne comptent plus sur des tactiques de logiciels malveillants traditionnels pour violer les portefeuilles froids. Au lieu de cela, ils se concentrent sur l’exploitation de la confiance des utilisateurs. Ne tapez jamais votre phrase de semences dans autre chose que votre appareil de grand livre physique et vérifiez toujours les sources logicielles.
