Ledger Nano S+ ปลอมดูดเงินจากกระเป๋าใน 20 เชน

นักวิจัยด้านความปลอดภัยจากบราซิลเปิดเผยการดำเนินการของ Ledger Nano S+ ปลอมที่ใช้เฟิร์มแวร์ที่เป็นอันตรายและแอปปลอมเพื่อดูดเงินจากกระเป๋าเงินข้ามบล็อกเชน 20 รายการ

นักวิจัยด้านความปลอดภัยจากบราซิลได้เปิดเผยหนึ่งในการดำเนินการ Ledger Nano S+ ปลอมที่ซับซ้อนที่สุดที่เคยมีการบันทึกไว้ อุปกรณ์ปลอมที่มาจากตลาดจีนมีเฟิร์มแวร์ที่เป็นอันตรายแบบกำหนดเองและแอปโคลน ผู้โจมตีขโมย seed phrase ทุกรายการที่ผู้ใช้ป้อนเข้าไปทันที

นักวิจัยซื้ออุปกรณ์ด้วยความสงสัยในความผิดปกติของราคา เมื่อเปิดออกแล้ว ธรรมชาติของการปลอมแปลงชัดเจน แทนที่จะทิ้งมัน จึงได้มีการถอดชิ้นส่วนอย่างสมบูรณ์ตามมา

สิ่งที่ซ่อนอยู่ภายในชิป

Ledger Nano S+ ของแท้ใช้ชิป ST33 Secure Element อุปกรณ์นี้มี ESP32-S3 แทน เครื่องหมายชิปถูกขัดออกทางกายภาพเพื่อป้องกันการระบุตัวตน เฟิร์มแวร์ระบุตัวเองว่า "Ledger Nano S+ V2.1" ซึ่งเป็นเวอร์ชันที่ไม่มีอยู่จริง

ผู้สืบสวนพบ seed และ PIN ที่เก็บไว้ในรูปแบบข้อความธรรมดาหลังจากทำการดัมพ์หน่วยความจำ เฟิร์มแวร์ส่งสัญญาณไปยังเซิร์ฟเวอร์ควบคุมและสั่งการที่ kkkhhhnnn[.]com seed phrase ใดๆ ที่ป้อนเข้าไปในฮาร์ดแวร์นี้ถูกขโมยออกไปทันที

อุปกรณ์รองรับบล็อกเชนประมาณ 20 รายการสำหรับการดูดเงินจากกระเป๋าเงิน นั่นไม่ใช่การดำเนินการเล็กน้อย

ห้าช่องทางการโจมตี ไม่ใช่หนึ่ง

ผู้ขายรวมแอป "Ledger Live" ที่แก้ไขแล้วมากับอุปกรณ์ นักพัฒนาสร้างแอปด้วย React Native โดยใช้ Hermes v96 และลงนามด้วยใบรับรอง Android Debug ผู้โจมตีไม่ได้ใส่ใจที่จะขอลายเซ็นที่ถูกต้องตามกฎหมาย

แอปเชื่อมต่อเข้ากับ XState เพื่อสกัดคำสั่ง APDU ใช้คำขอ XHR แบบลับๆ เพื่อดึงข้อมูลออกมาอย่างเงียบๆ ผู้สืบสวนระบุเซิร์ฟเวอร์ควบคุมและสั่งการเพิ่มเติมอีกสองรายการ: s6s7smdxyzbsd7d7nsrx[.]icu และ ysknfr[.]cn

สิ่งนี้ไม่ได้จำกัดอยู่แค่ Android การดำเนินการเดียวกันแจกจ่าย .EXE สำหรับ Windows และ .DMG สำหรับ macOS ซึ่งคล้ายกับแคมเปญที่ Moonlock ติดตามภายใต้ AMOS/JandiInstaller เวอร์ชัน iOS TestFlight ยังแพร่กระจายอยู่ โดยข้ามการตรวจสอบ App Store ทั้งหมด ซึ่งเป็นกลยุทธ์ที่เชื่อมโยงก่อนหน้านี้กับการหลอกลวง CryptoRom ทั้งหมดห้าช่องทาง: ฮาร์ดแวร์, Android, Windows, macOS, iOS

การตรวจสอบของแท้ไม่สามารถช่วยคุณได้ที่นี่

คำแนะนำอย่างเป็นทางการของ Ledger ยืนยันว่าอุปกรณ์ของแท้มีคีย์เข้ารหัสลับที่ตั้งไว้ระหว่างการผลิต Ledger Genuine Check ใน Ledger Wallet ตรวจสอบคีย์นี้ทุกครั้งที่อุปกรณ์เชื่อมต่อ ตาม เอกสารสนับสนุนของ Ledger มีเพียงอุปกรณ์ของแท้เท่านั้นที่สามารถผ่านการตรวจสอบนั้นได้

ปัญหานั้นตรงไปตรงมา การประนีประนอมระหว่างการผลิตทำให้การตรวจสอบซอฟต์แวร์ใดๆ ไร้ประโยชน์ เฟิร์มแวร์ที่เป็นอันตรายเลียนแบบพฤติกรรมที่คาดหวังได้เพียงพอเพื่อดำเนินการผ่านการตรวจสอบพื้นฐาน นักวิจัยยืนยันสิ่งนี้โดยตรงในการถอดชิ้นส่วน

การโจมตีห่วงโซ่อุปทานที่มุ่งเป้าไปที่ผู้ใช้ Ledgerในอดีตได้แสดงให้เห็นซ้ำแล้วซ้ำเล่าว่าการตรวจสอบระดับบรรจุภัณฑ์เพียงอย่างเดียวไม่เพียงพอ กรณีที่บันทึกไว้บน BitcoinTalk บันทึกผู้ใช้รายบุคคลที่สูญเสียเงินมากกว่า $200,000 จากกระเป๋าเงินฮาร์ดแวร์ปลอมจากตลาดบุคคลที่สาม

สถานที่ที่อุปกรณ์เหล่านี้ถูกขาย

ตลาดบุคคลที่สามเป็นช่องทางการจัดจำหน่ายหลัก ผู้ขายบุคคลที่สามของ Amazon, eBay, Mercado Livre, JD และ AliExpress ทั้งหมดมีประวัติที่บันทึกไว้ในการลงรายการกระเป๋าเงินฮาร์ดแวร์ที่ถูกบุกรุก นักวิจัยกล่าวในโพสต์ Reddit บน r/ledgerwallet

จุดราคาน่าสงสัยโดยเจตนา นั่นคือเหยื่อล่อ แหล่งที่ไม่เป็นทางการไม่ได้เสนอ Ledger ลดราคาเป็นข้อเสนอที่ดี แต่ขายผลิตภัณฑ์ที่ถูกบุกรุกเพื่อให้ประโยชน์แก่ผู้โจมตี

ช่องทางอย่างเป็นทางการของ Ledger คือเว็บไซต์อีคอมเมิร์ซของตัวเองที่ Ledger.com และร้านค้า Amazon ที่ได้รับการยืนยันใน 18 ประเทศ ที่อื่นไม่มีการรับประกันความถูกต้องแท้จริงใดๆ

สิ่งที่นักวิจัยกำลังทำต่อไป

ทีมเตรียมรายงานทางเทคนิคที่ครอบคลุมสำหรับทีม Donjon ของ Ledger และโปรแกรมรางวัลฟิชชิ่ง และจะเผยแพร่บทความฉบับเต็มหลังจาก Ledger เสร็จสิ้นการวิเคราะห์ภายใน

นักวิจัยได้จัดให้มี IOC แก่ผู้เชี่ยวชาญด้านความปลอดภัยรายอื่นผ่านข้อความโดยตรง ใครก็ตามที่ซื้ออุปกรณ์จากแหล่งที่น่าสงสัยสามารถติดต่อเพื่อขอความช่วยเหลือในการระบุตัวตนได้

สัญญาณเตือนที่สำคัญยังคงเรียบง่าย seed phrase ที่สร้างไว้ล่วงหน้าที่มาพร้อมกับอุปกรณ์เป็นการหลอกลวง เอกสารที่ขอให้ผู้ใช้พิมพ์ seed phrase ลงในแอปเป็นการหลอกลวง ทำลายอุปกรณ์ทันทีในกรณีใดกรณีหนึ่ง

โพสต์ Counterfeit Ledger Nano S+ Drains Wallets Across 20 Chains ปรากฏครั้งแรกบน Live Bitcoin News