Πλαστό Ledger Nano S+ Αδειάζει Πορτοφόλια σε 20 Αλυσίδες

Ένας ερευνητής ασφαλείας με έδρα τη Βραζιλία αποκαλύπτει μια λειτουργία παραποιημένου Ledger Nano S+ που χρησιμοποιεί κακόβουλο firmware και ψεύτικες εφαρμογές για να αδειάσει πορτοφόλια σε 20 blockchains.

Ένας ερευνητής ασφαλείας με έδρα τη Βραζιλία έχει αποκαλύψει μία από τις πιο εξελιγμένες λειτουργίες παραποιημένου Ledger Nano S+ που έχουν τεκμηριωθεί ποτέ. Η πλαστή συσκευή, που προερχόταν από μια κινεζική αγορά, περιείχε προσαρμοσμένο κακόβουλο firmware και κλωνοποιημένη εφαρμογή. Ο επιτιθέμενος έκλεψε αμέσως κάθε seed phrase που εισήγαγαν οι χρήστες.

Ο ερευνητής αγόρασε τη συσκευή λόγω υποψίας για ανωμαλίες στην τιμή. Όταν την άνοιξε, η πλαστή φύση της ήταν προφανής. Αντί να την απορρίψει, ακολούθησε πλήρης αποσυναρμολόγηση.

Τι ήταν Κρυμμένο Μέσα στο Chip

Το γνήσιο Ledger Nano S+ χρησιμοποιεί ένα chip ST33 Secure Element. Αυτή η συσκευή είχε ένα ESP32-S3 αντί αυτού. Οι σημάνσεις του chip είχαν τριφτεί φυσικά για να εμποδιστεί η αναγνώριση. Το firmware αυτοπροσδιοριζόταν ως "Ledger Nano S+ V2.1" — μια έκδοση που δεν υπάρχει.

Οι ερευνητές βρήκαν seeds και PINs αποθηκευμένα σε απλό κείμενο μετά από memory dump. Το firmware επικοινωνούσε με έναν διακομιστή command-and-control στο kkkhhhnnn[.]com. Οποιαδήποτε seed phrase εισαγόταν σε αυτό το hardware εξαιρούνταν άμεσα.

Η συσκευή υποστηρίζει περίπου 20 blockchains για άδειασμα πορτοφολιών. Αυτό δεν είναι μια μικρή επιχείρηση.

Πέντε Φορείς Επίθεσης, Όχι Ένας

Ο πωλητής συμπεριέλαβε μια τροποποιημένη εφαρμογή "Ledger Live" με τη συσκευή. Οι προγραμματιστές έφτιαξαν την εφαρμογή με React Native χρησιμοποιώντας Hermes v96 και την υπέγραψαν με πιστοποιητικό Android Debug. Οι επιτιθέμενοι δεν μπήκαν στον κόπο να αποκτήσουν νόμιμη υπογραφή.

Η εφαρμογή συνδέεται με το XState για να παρεμποδίσει εντολές APDU. Χρησιμοποιεί κρυφά αιτήματα XHR για να εξάγει δεδομένα σιωπηλά. Οι ερευνητές εντόπισαν δύο επιπλέον διακομιστές command-and-control: s6s7smdxyzbsd7d7nsrx[.]icu και ysknfr[.]cn.

Αυτό δεν περιορίζεται στο Android. Η ίδια λειτουργία διανέμει ένα .EXE για Windows και ένα .DMG για macOS, μοιάζοντας με καμπάνιες που παρακολουθούνται από το Moonlock υπό AMOS/JandiInstaller. Μια iOS έκδοση TestFlight επίσης κυκλοφορεί, παρακάμπτοντας εντελώς την αναθεώρηση του App Store — μια τακτική που συνδέεται προηγουμένως με απάτες CryptoRom. Πέντε φορείς συνολικά: hardware, Android, Windows, macOS, iOS.

Ο Γνήσιος Έλεγχος Δεν Μπορεί να σας Σώσει Εδώ

Οι επίσημες οδηγίες του Ledger επιβεβαιώνουν ότι οι γνήσιες συσκευές φέρουν ένα μυστικό κρυπτογραφικό κλειδί που ορίζεται κατά την κατασκευή. Ο Ledger Genuine Check στο Ledger Wallet επαληθεύει αυτό το κλειδί κάθε φορά που συνδέεται μια συσκευή. Σύμφωνα με την τεκμηρίωση υποστήριξης του Ledger, μόνο μια γνήσια συσκευή μπορεί να περάσει αυτόν τον έλεγχο.

Το πρόβλημα είναι απλό. Ένας συμβιβασμός κατά την κατασκευή καθιστά οποιονδήποτε έλεγχο λογισμικού άχρηστο. Το κακόβουλο firmware μιμείται αρκετά από την αναμενόμενη συμπεριφορά για να προχωρήσει πέρα από βασικούς ελέγχους. Ο ερευνητής επιβεβαίωσε αυτό απευθείας στην αποσυναρμολόγηση.

Παλαιότερες επιθέσεις εφοδιαστικής αλυσίδας που στοχεύουν χρήστες Ledger έχουν δείξει επανειλημμένα ότι η επαλήθευση σε επίπεδο συσκευασίας από μόνη της είναι ανεπαρκής. Τεκμηριωμένες περιπτώσεις στο BitcoinTalk καταγράφουν μεμονωμένους χρήστες που έχασαν πάνω από $200,000 σε πλαστά hardware wallets από αγορές τρίτων.

Πού Πωλούνται Αυτές οι Συσκευές

Οι αγορές τρίτων είναι το κύριο κανάλι διανομής. Πωλητές τρίτων του Amazon, eBay, Mercado Livre, JD και AliExpress έχουν όλοι τεκμηριωμένο ιστορικό καταχώρισης συμβιβασμένων hardware wallets, σημείωσε ο ερευνητής στην ανάρτηση Reddit στο r/ledgerwallet.

Το σημείο τιμής είναι σκόπιμα ύποπτο. Αυτό είναι το δέλεαρ. Μια ανεπίσημη πηγή δεν προσφέρει ένα Ledger με έκπτωση ως προσφορά—πουλάει ένα συμβιβασμένο προϊόν προς όφελος του επιτιθέμενου.

Τα επίσημα κανάλια του Ledger είναι ο δικός του ιστότοπος ηλεκτρονικού εμπορίου στο Ledger.com και επαληθευμένα καταστήματα Amazon σε 18 χώρες. Πουθενά αλλού δεν υπάρχει εγγύηση γνησιότητας.

Τι Κάνει ο Ερευνητής Στη Συνέχεια

Η ομάδα προετοίμασε μια ολοκληρωμένη τεχνική αναφορά για την ομάδα Donjon του Ledger και το πρόγραμμα επιβράβευσης phishing, και θα κυκλοφορήσει την πλήρη αναφορά αφού το Ledger ολοκληρώσει την εσωτερική του ανάλυση.

Ο ερευνητής έχει διαθέσει IOCs σε άλλους επαγγελματίες ασφαλείας μέσω απευθείας μηνυμάτων. Οποιοσδήποτε αγόρασε συσκευή από αμφίβολη πηγή μπορεί να επικοινωνήσει για βοήθεια αναγνώρισης.

Οι βασικές κόκκινες σημαίες παραμένουν απλές. Μια προδημιουργημένη seed phrase που συμπεριλαμβάνεται με τη συσκευή είναι απάτη. Τεκμηρίωση που ζητά από τους χρήστες να πληκτρολογήσουν μια seed phrase σε μια εφαρμογή είναι απάτη. Καταστρέψτε τη συσκευή αμέσως σε οποιαδήποτε περίπτωση.

Η ανάρτηση Counterfeit Ledger Nano S+ Drains Wallets Across 20 Chains εμφανίστηκε πρώτα στο Live Bitcoin News.