Hackers usam aplicativos falsos da Ledger para roubar seed phrases de usuários do macOS

Uma série de campanhas coordenadas por grupos hackers está usando aplicativos falsos da Ledger para enganar usuários do macOS e roubar frases-semente — conjuntos de palavras que funcionam como chaves mestras para acessar carteiras de criptomoedas. A Ledger é uma das carteiras físicas mais populares do mercado, utilizada para armazenar ativos digitais em ambientes offline (cold wallets), oferecendo uma camada extra de segurança contra ataques digitais.

De acordo com o Moonlock Lab, os ataques começaram a ser rastreados em agosto de 2024, quando os aplicativos falsificados ainda se limitavam a coletar senhas, anotações e detalhes das carteiras, sem conseguir acessar os fundos diretamente. No entanto, as campanhas evoluíram rapidamente. Os hackers agora incorporam páginas de phishing nos aplicativos falsos, induzindo os usuários a inserir suas frases-semente de 24 palavras após exibir mensagens falsas de erro crítico. Com essa informação, os invasores conseguem acessar completamente as carteiras e esvaziá-las.

Uma das variantes mais avançadas foi batizada de Odyssey, um malware para macOS que substitui o aplicativo legítimo Ledger Live no dispositivo da vítima. O programa fraudulento solicita a frase-semente como parte de uma suposta recuperação da conta, e transmite os dados diretamente para servidores controlados por um hacker identificado como "Rodrigo". A eficácia do Odyssey chamou a atenção em fóruns clandestinos, levando a uma série de ataques semelhantes, como os realizados por outro malware chamado AMOS.

Em março de 2025, o AMOS começou a ser distribuído por meio de um arquivo chamado JandiInstaller.dmg, que consegue burlar o Gatekeeper — o mecanismo de segurança da Apple — e instalar uma versão trojanizada do Ledger Live. Após o roubo da frase-semente, o app exibe uma mensagem enganosa de "aplicativo corrompido", distraindo a vítima enquanto os hackers esvaziam sua carteira. Paralelamente, outro grupo hacker, operando sob o pseudônimo @mentalpositive, começou a divulgar um suposto módulo “anti-Ledger” em fóruns da dark web.

Mais recentemente, pesquisadores da empresa de segurança Jamf identificaram outra campanha, desta vez utilizando um arquivo DMG com um executável compactado em PyInstaller. Esse arquivo exibia uma interface falsa do Ledger Live com um iframe carregando uma página de phishing, também projetada para capturar frases-semente. Essa campanha adota uma abordagem híbrida, mirando dados de navegador, configurações de carteiras "quentes" e informações do sistema.

Especialistas alertam que a frase-semente só deve ser inserida diretamente no dispositivo Ledger físico e apenas em situações específicas, como recuperação da carteira ou configuração de um novo aparelho. Usuários devem evitar qualquer aplicativo que não tenha sido baixado diretamente do site oficial da Ledger, e jamais fornecer suas frases-semente em páginas da web ou aplicativos suspeitos.

Via - BC