Ciberdelincuentes atacan usuarios de Ledger en macOS

Las campañas de ciberdelincuentes están evolucionando para atacar a usuarios de macOS mediante aplicaciones falsas de Ledger, con el objetivo de robar frases semilla y obtener acceso completo a billeteras de criptomonedas.

Ledger, una de las marcas más reconocidas de billeteras de hardware para criptomonedas, permite almacenar activos digitales de forma segura y fuera de línea. Su mecanismo de recuperación, la frase semilla (seed phrase), es un conjunto de 12 o 24 palabras aleatorias que permite restaurar el acceso a los fondos. Esta frase debe guardarse en privado, fuera de línea y nunca ser introducida en software o sitios no oficiales.

Evolución de los ataques contra usuarios de Ledger en macOS

Según un informe reciente de Moonlock Lab, los ataques comenzaron en agosto de 2024, cuando versiones maliciosas de la app Ledger Live clonaban la interfaz legítima para recolectar contraseñas, notas y detalles de las billeteras, aunque sin lograr acceso completo a los fondos.

Sin embargo, a partir de marzo de 2025, los ataques evolucionaron con la aparición de un malware para macOS llamado Odyssey, vinculado a un actor de amenazas identificado como Rodrigo. Esta variante sustituye la aplicación Ledger Live real por una versión troyanizada que muestra un mensaje de "error crítico" y luego solicita a la víctima que ingrese su frase inicial de 24 palabras en una interfaz falsa.

Una vez introducida la frase semilla, los atacantes pueden vaciar completamente las carteras Ledger, robando activos como Bitcoin, Ethereum y otras criptomonedas en cuestión de segundos.

Malware Odyssey y campañas imitadoras

Odyssey también es capaz de robar nombres de usuario de macOS y exfiltrar toda la información recopilada a un servidor C2 (comando y control). Su efectividad generó rápidamente la aparición de malware imitador, como el conocido ladrón AMOS, que adoptó estrategias similares para atacar a los usuarios.

En abril, se detectó una campaña de AMOS utilizando un archivo DMG troyanizado (JandiInstaller.dmg) que logra evadir Gatekeeper, el sistema de seguridad de macOS. Esta aplicación mostraba pantallas de phishing idénticas a las de Odyssey. Una vez que la víctima introducía su frase semilla, se mostraba un mensaje falso de "Aplicación corrupta", lo que retrasaba la sospecha mientras se realizaba el robo de activos.

Nuevos actores y campañas activas en 2025

Investigadores de la empresa de seguridad Jamf detectaron recientemente una campaña en curso en la que un archivo DMG ejecuta una versión falsa de Ledger Live que carga una página de phishing mediante iframe, imitando la interfaz oficial. Estos ataques combinan técnicas de phishing dirigido, robo de datos del navegador, y análisis del sistema macOS, para maximizar la extracción de información sensible y criptomonedas.

Además, otro actor identificado en foros de la dark web, bajo el alias @mentalpositive, ha estado promocionando un supuesto módulo "anti-Ledger", aunque hasta ahora no se han detectado muestras funcionales.

Cómo proteger tu billetera Ledger en macOS

Para mantener tus activos digitales seguros y proteger tu billetera Ledger en macOS:

• Descarga Ledger Live solo desde el sitio oficial (No tienes permitido ver enlaces. Registrate o Entra a tu cuenta).
• Nunca ingreses tu frase semilla en una aplicación o sitio web. La frase solo debe escribirse en el dispositivo físico de Ledger durante la configuración o recuperación.
• Evita abrir archivos .DMG de fuentes no verificadas. Verifica la firma del desarrollador antes de instalar cualquier software.
• Activa Gatekeeper y el escaneo automático de malware en tu Mac.
• Considera utilizar software antivirus específico para macOS que detecte malware como Odyssey o AMOS.

En fin, los ataques dirigidos a usuarios de Ledger en macOS están aumentando en frecuencia y sofisticación. El objetivo principal de los ciberdelincuentes es la frase semilla, el acceso maestro a tus criptomonedas. La mejor defensa es la prevención, evitando apps no oficiales y manteniéndose alerta ante cualquier comportamiento sospechoso del sistema.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta