Ledger Nano S+ Contrafăcut Golește Portofelele pe 20 de Lanțuri

Un cercetător în securitate cu sediul în Brazilia dezvăluie o operațiune de contrafacere Ledger Nano S+ care folosește firmware malițios și aplicații false pentru a goli portofele pe 20 de blockchain-uri.

Un cercetător în securitate cu sediul în Brazilia a dezvăluit una dintre cele mai sofisticate operațiuni de contrafacere Ledger Nano S+ documentate vreodată. Dispozitivul fals, provenit dintr-o piață chineză, conținea firmware malițios personalizat și o aplicație clonată. Atacatorul a furat imediat fiecare frază seed introdusă de utilizatori.

Cercetătorul a achiziționat dispozitivul din cauza suspiciunilor legate de nereguli de preț. La deschiderea acestuia, natura contrafăcută a fost evidentă. În loc să-l arunce, a urmat o demontare completă.

Ce era ascuns în interiorul chip-ului

Ledger Nano S+ autentic folosește un chip ST33 Secure Element. Acest dispozitiv avea în schimb un ESP32-S3. Marcajele chip-ului au fost șlefuite fizic pentru a bloca identificarea. Firmware-ul se identifica ca "Ledger Nano S+ V2.1" — o versiune care nu există.

Investigatorii au găsit seed-uri și coduri PIN stocate în text simplu după efectuarea unei descărcări de memorie. Firmware-ul transmitea către un server de comandă și control la kkkhhhnnn[.]com. Orice frază seed introdusă în acest hardware a fost exfiltrată instantaneu.

Dispozitivul acceptă aproximativ 20 de blockchain-uri pentru golirea portofelelor. Aceasta nu este o operațiune minoră.

Cinci vectori de atac, nu unul singur

Vânzătorul a inclus o aplicație "Ledger Live" modificată împreună cu dispozitivul. Dezvoltatorii au construit aplicația cu React Native folosind Hermes v96 și au semnat-o cu un certificat Android Debug. Atacatorii nu s-au obosit să obțină o semnătură legitimă.

Aplicația se conectează la XState pentru a intercepta comenzile APDU. Folosește cereri XHR ascunse pentru a extrage date în tăcere. Investigatorii au identificat două servere suplimentare de comandă și control: s6s7smdxyzbsd7d7nsrx[.]icu și ysknfr[.]cn.

Aceasta nu se limitează la Android. Aceeași operațiune distribuie un .EXE pentru Windows și un .DMG pentru macOS, asemănându-se campaniilor urmărite de Moonlock sub AMOS/JandiInstaller. O versiune iOS TestFlight circulă de asemenea, ocolind complet revizuirea App Store — o tactică legată anterior de înșelăciunile CryptoRom. Cinci vectori în total: hardware, Android, Windows, macOS, iOS.

Verificarea de autenticitate nu te poate salva aici

Ghidul oficial Ledger confirmă că dispozitivele autentice poartă o cheie criptografică secretă stabilită în timpul fabricării. Verificarea Ledger Genuine Check din Ledger Wallet verifică această cheie de fiecare dată când un dispozitiv se conectează. Conform documentației de asistență Ledger, doar un dispozitiv autentic poate trece de acea verificare.

Problema este simplă. Un compromis în timpul fabricării face inutilă orice verificare software. Firmware-ul malițios imită suficient din comportamentul așteptat pentru a depăși verificările de bază. Cercetătorul a confirmat acest lucru direct în demontare.

Atacurile anterioare ale lanțului de aprovizionare vizând utilizatorii Ledger au arătat în mod repetat că verificarea doar la nivel de ambalare este insuficientă. Cazuri documentate pe BitcoinTalk înregistrează utilizatori individuali care au pierdut peste 200.000 USD din cauza portofelelor hardware false de pe piețe terțe.

Unde sunt vândute aceste dispozitive

Piețele terțe sunt canalul principal de distribuție. Vânzătorii terți Amazon, eBay, Mercado Livre, JD și AliExpress au toți istorice documentate de listare a portofelelor hardware compromise, a notat cercetătorul în postarea Reddit pe r/ledgerwallet.

Punctul de preț este deliberat suspect. Aceasta este momeala. O sursă neoficială nu oferă un Ledger redus ca ofertă—vinde un produs compromis în beneficiul atacatorului.

Canalele oficiale Ledger sunt propriul său site de e-commerce la Ledger.com și magazine Amazon verificate în 18 țări. Nicăieri altundeva nu există nicio garanție de autenticitate.

Ce va face cercetătorul în continuare

Echipa a pregătit un raport tehnic cuprinzător pentru echipa Donjon a Ledger și programul său de recompense pentru phishing și va publica raportul complet după ce Ledger își finalizează analiza internă.

Cercetătorul a pus la dispoziție IOC-uri altor profesioniști în securitate prin mesaje directe. Oricine a achiziționat un dispozitiv dintr-o sursă îndoielnică poate lua legătura pentru asistență la identificare.

Semnalele de alarmă cheie rămân simple. O frază seed pregenerată inclusă cu dispozitivul este o înșelăciune. Documentația care solicită utilizatorilor să introducă o frază seed într-o aplicație este o înșelăciune. Distrugeți dispozitivul imediat în oricare din cazuri.

Postarea Counterfeit Ledger Nano S+ Drains Wallets Across 20 Chains a apărut pentru prima dată pe Live Bitcoin News.