Según se informa, una nueva campaña de phishing está dirigida a los usuarios de la billetera de hardware Ledger a través de correos electrónicos falsos de notificación de violación de datos.

Los investigadores de seguridad de BleepingComputer informaron que los estafadores están enviando correos electrónicos que parecen provenir de la dirección de soporte oficial de Ledger a los usuarios. Según ellos, el mensaje afirma que los usuarios deben verificar sus frases de recuperación debido a una violación de seguridad.

Según se informa, la estafa comenzó el 15 de diciembre de 2024 y utiliza la infraestructura de Amazon AWS para parecer legítima. Estos intentos de phishing están diseñados para robar las frases de recuperación de 24 palabras de los usuarios, lo que daría a los atacantes acceso completo a los fondos de criptomonedas de las víctimas.

La campaña parece ser particularmente efectiva porque explota preocupaciones reales derivadas de la filtración de datos anterior de Ledger en 2020, un episodio en el que la información de los clientes quedó realmente expuesta.

La campaña de phishing de criptomonedas parece oficial

Los correos electrónicos fraudulentos siguen un patrón cuidadoso diseñado para parecer oficiales. Llegan con el asunto “Alerta de seguridad: la filtración de datos puede exponer su frase de recuperación” y parecen provenir de “Ledger support@ledger.com”. Sin embargo, los investigadores descubrieron que los estafadores en realidad están utilizando la plataforma de marketing por correo electrónico SendGrid para distribuir estos mensajes.

Cuando los usuarios hacen clic en el botón “Verificar mi frase de recuperación” en estos correos electrónicos, son redirigidos a través de varias etapas. La primera redirección lleva a un sitio web de Amazon AWS en una URL sospechosa: product-ledg.s3.us-west-1.amazonaws.com. Desde allí, los usuarios son enviados a un sitio de phishing.

El sitio web de phishing muestra claras capacidades técnicas. Incluye un sistema de verificación que compara cada palabra ingresada con las 2048 palabras válidas que se usan en las frases de recuperación de criptomonedas. Esta validación en tiempo real hace que el sitio parezca más legítimo para las víctimas.

Los atacantes también agregaron otro elemento engañoso: el sitio siempre afirma que la frase ingresada no es válida para alentar múltiples intentos y probablemente para verificar que recibieron las palabras de recuperación correctas.

También se han identificado versiones adicionales de esta estafa. Algunos correos electrónicos afirman ser notificaciones de actualización de firmware, pero comparten el mismo objetivo: robar las frases de recuperación de los usuarios para obtener acceso a sus billeteras de criptomonedas. Cada palabra ingresada se transmite inmediatamente a los servidores de los atacantes.

Captura de pantalla de la página falsa que intenta robar la frase de recuperación de los usuarios de Legder. Fuente: BleepingComputer Ledger ha emitido varios recordatorios de seguridad.

Ledger ha emitido desde entonces varios recordatorios de seguridad en respuesta a esta campaña de phishing. La empresa enfatiza que nunca solicitará frases de recuperación a través del correo electrónico, sitios web o cualquier otro medio.

Algunas recomendaciones de seguridad compartidas desde entonces han recordado a los usuarios que el único uso legítimo de una frase de recuperación es durante la configuración inicial de una nueva billetera de hardware o al recuperar el acceso a una billetera existente, y estas acciones solo deben realizarse en el dispositivo Ledger físico.

Las recomendaciones de seguridad para que los usuarios se protejan también les han recordado que siempre deben escribir la dirección web de Ledger (ledger.com) directamente en el navegador en lugar de hacer clic en enlaces de correo electrónico.

En segundo lugar, se recomendó a los usuarios que trataran con extrema precaución cualquier correo electrónico que afirmara provenir de Ledger, especialmente aquellos que mencionaran violaciones de datos o exigieran una acción inmediata. En tercer lugar, se recordó a los usuarios que debían almacenar las frases de recuperación sin conexión, preferiblemente en una ubicación física segura lejos de los dispositivos digitales.

Para aquellos que ya hayan interactuado con correos electrónicos o sitios web sospechosos, se recomienda tomar medidas inmediatas. Los usuarios que hayan ingresado su frase de recuperación en cualquier sitio web deben transferir sus fondos a una nueva billetera con una nueva frase de recuperación de inmediato. La billetera original debe considerarse comprometida y ya no debe usarse para almacenar criptomonedas.

Un sistema paso a paso para lanzar su carrera en Web3 y conseguir trabajos criptográficos bien remunerados en 90 días.