偽造されたLedger Nano S+が20チェーンにわたってウォレットから出金

ブラジルを拠点とするセキュリティ研究者が、悪意のあるファームウェアと偽アプリを使用して20のブロックチェーンにわたってウォレットを空にする偽造Ledger Nano S+の運用を暴露しました。

ブラジルを拠点とするセキュリティ研究者が、これまで記録された中で最も巧妙な 偽造Ledger Nano S+の運用の1つを暴露しました。中国のマーケットプレイスから入手されたこの偽造デバイスには、カスタムの悪意のあるファームウェアとクローンアプリが搭載されていました。攻撃者はユーザーが入力したすべてのシードフレーズを即座に盗み出しました。

研究者は価格の不規則性を疑い、このデバイスを購入しました。開封すると、偽造品であることは明白でした。それを廃棄する代わりに、完全な分解調査を行いました。

チップの内部に隠されていたもの

正規のLedger Nano S+はST33セキュアエレメントチップを使用しています。このデバイスには代わりにESP32-S3が搭載されていました。チップの刻印は識別を阻止するために物理的に研磨されていました。ファームウェアは自身を「Ledger Nano S+ V2.1」と識別していましたが、これは存在しないバージョンです。

調査員は、メモリダンプを実施した後、シードフレーズとPINが平文で保存されているのを発見しました。ファームウェアはkkkhhhnnn[.]comのコマンド&コントロールサーバーに信号を送信していました。このハードウェアに入力されたシードフレーズはすべて即座に流出しました。

このデバイスは、ウォレットを空にするために約20のブロックチェーンをサポートしています。これは小規模な作戦ではありません。

1つではなく5つの攻撃ベクトル

販売者は改変された「Ledger Live」アプリをデバイスにバンドルしていました。開発者はHermes v96を使用してReact Nativeでアプリを構築し、Android Debugサーティフィケートで署名しました。攻撃者は正規の署名を取得する手間をかけませんでした。

アプリはXStateにフックしてAPDUコマンドを傍受します。ステルスXHRリクエストを使用してデータを静かに引き出します。調査員は2つの追加コマンド&コントロールサーバーを特定しました：s6s7smdxyzbsd7d7nsrx[.]icuとysknfr[.]cnです。

これはAndroidに限定されません。同じ作戦はWindows用の.EXEとmacOS用の.DMGを配布しており、MoonlockがAMOS/JandiInstallerとして追跡しているキャンペーンに似ています。iOSのTestFlightバージョンも流通しており、App Storeのレビューを完全にバイパスしています。これは以前CryptoRom詐欺に関連付けられていた戦術です。合計5つのベクトル：ハードウェア、Android、Windows、macOS、iOSです。

正規品チェックでもここでは役に立たない

Ledgerの公式ガイダンスは、正規デバイスが製造時に設定された秘密の暗号化キーを持っていることを確認しています。Ledger WalletのLedger Genuine Checkは、デバイスが接続するたびにこのキーを検証します。 Ledgerのサポートドキュメントによると、正規デバイスのみがそのチェックに合格できます。

問題は単純です。製造中の侵害により、ソフトウェアチェックは無効になります。悪意のあるファームウェアは、基本的なチェックを通過するのに十分な予想される動作を模倣します。研究者は分解調査でこれを直接確認しました。

過去の Ledgerユーザーを標的としたサプライチェーン攻撃は、パッケージレベルの検証だけでは不十分であることを繰り返し示してきました。BitcoinTalkに記録されたケースでは、第三者プラットフォームからの偽造ハードウェアウォレットにより、個人ユーザーが20万ドル以上を失っています。

これらのデバイスが販売されている場所

第三者プラットフォームが主要な流通チャネルです。Amazonの第三者販売者、eBay、Mercado Livre、JD、AliExpressはすべて、侵害されたハードウェアウォレットをリストした記録があると、研究者はr/ledgerwalletのReddit投稿で指摘しました。

価格設定は意図的に疑わしいものです。それが誘い文句です。非公式のソースは、割引されたLedgerを取引として提供しているのではなく、攻撃者に利益をもたらすために侵害された製品を販売しているのです。

Ledgerの公式チャネルは、Ledger.comの自社ECサイトと18か国にわたる検証済みのAmazonストアです。他の場所では真正性の保証はありません。

研究者が次に行うこと

チームはLedgerのDonjonチームとそのフィッシング報奨プログラムのために包括的な技術レポートを準備しており、Ledgerが内部分析を完了した後に完全な報告書を公開する予定です。

研究者はダイレクトメッセージを通じて、他のセキュリティ専門家にIOCsを提供しています。疑わしいソースからデバイスを購入した人は、識別支援のために連絡することができます。

主要な危険信号はシンプルです。デバイスに付属する事前生成されたシードフレーズは詐欺です。ユーザーにアプリにシードフレーズを入力するよう求めるドキュメントは詐欺です。どちらの場合も、直ちにデバイスを破棄してください。

The post Counterfeit Ledger Nano S+ Drains Wallets Across 20 Chains appeared first on Live Bitcoin News.