Поддельный Ledger Nano S+ опустошает кошельки в 20 блокчейнах

Исследователь безопасности из Бразилии разоблачил операцию с поддельным Ledger Nano S+, использующую вредоносную прошивку и фальшивые приложения для опустошения кошельков в 20 блокчейнах.

Исследователь безопасности из Бразилии разоблачил одну из самых изощренных операций с поддельным Ledger Nano S+, когда-либо задокументированных. Поддельное устройство, приобретенное на китайском рынке, содержало специальную вредоносную прошивку и клонированное приложение. Злоумышленник мгновенно крал каждую seed-фразу, введенную пользователями.

Исследователь купил устройство, заподозрив ценовые несоответствия. При вскрытии поддельная природа была очевидна. Вместо того чтобы выбросить его, был проведен полный разбор.

Что было скрыто внутри чипа

Оригинальный Ledger Nano S+ использует чип ST33 Secure Element. В этом устройстве вместо него был установлен ESP32-S3. Маркировка чипа была физически отшлифована, чтобы заблокировать идентификацию. Прошивка идентифицировала себя как "Ledger Nano S+ V2.1" — версия, которая не существует.

Следователи обнаружили seed-фразы и PIN-коды, хранящиеся в открытом текстовом виде, после проведения дампа памяти. Прошивка отправляла сигналы на командно-контрольный сервер по адресу kkkhhhnnn[.]com. Любая seed-фраза, введенная в это устройство, мгновенно передавалась злоумышленникам.

Устройство поддерживает около 20 блокчейнов для опустошения кошельков. Это не мелкая операция.

Пять векторов атаки, а не один

Продавец включил модифицированное приложение "Ledger Live" вместе с устройством. Разработчики создали приложение с помощью React Native, используя Hermes v96, и подписали его сертификатом Android Debug. Злоумышленники не стали получать легитимную подпись.

Приложение подключается к XState для перехвата команд APDU. Оно использует скрытые XHR-запросы для незаметного извлечения данных. Следователи выявили два дополнительных командно-контрольных сервера: s6s7smdxyzbsd7d7nsrx[.]icu и ysknfr[.]cn.

Это не ограничивается Android. Та же операция распространяет .EXE для Windows и .DMG для macOS, напоминая кампании, отслеживаемые Moonlock под названием AMOS/JandiInstaller. Версия для iOS TestFlight также циркулирует, полностью обходя проверку App Store — тактика, ранее связанная с мошенничествами CryptoRom. Всего пять векторов: оборудование, Android, Windows, macOS, iOS.

Проверка подлинности не может вас здесь спасти

Официальное руководство Ledger подтверждает, что оригинальные устройства несут секретный криптографический ключ, установленный во время производства. Проверка подлинности Ledger в Ledger Wallet верифицирует этот ключ каждый раз, когда устройство подключается. Согласно документации поддержки Ledger, только оригинальное устройство может пройти эту проверку.

Проблема проста. Компрометация во время производства делает любую программную проверку бесполезной. Вредоносная прошивка имитирует достаточно ожидаемого поведения, чтобы пройти базовые проверки. Исследователь подтвердил это непосредственно при разборе.

Прошлые атаки на цепочку поставок, нацеленные на пользователей Ledger, неоднократно показывали, что одной только проверки на уровне упаковки недостаточно. Задокументированные случаи на BitcoinTalk фиксируют потери отдельными пользователями более 200 000 $ из-за поддельных аппаратных кошельков со сторонних платформ.

Где продаются эти устройства

Сторонние платформы являются основным каналом распространения. Amazon (сторонние продавцы), eBay, Mercado Livre, JD и AliExpress — все имеют задокументированную историю размещения скомпрометированных аппаратных кошельков, отметил исследователь в посте на Reddit в r/ledgerwallet.

Ценовая точка намеренно подозрительна. Это приманка. Неофициальный источник не предлагает Ledger со скидкой как выгодное предложение — он продает скомпрометированный продукт в пользу злоумышленника.

Официальными каналами Ledger являются собственный сайт электронной коммерции на Ledger.com и проверенные магазины Amazon в 18 странах. Больше нигде нет никаких гарантий подлинности.

Что делает исследователь дальше

Команда подготовила комплексный технический отчет для команды Donjon Ledger и его программы баунти по фишингу и выпустит полный отчет после того, как Ledger завершит свой внутренний анализ.

Исследователь предоставил IOC другим специалистам по безопасности через личные сообщения. Любой, кто приобрел устройство из сомнительного источника, может обратиться за помощью в идентификации.

Ключевые тревожные сигналы остаются простыми. Предварительно сгенерированная seed-фраза, включенная в устройство, — это мошенничество. Документация, просящая пользователей ввести seed-фразу в приложение, — это мошенничество. Немедленно уничтожьте устройство в любом из этих случаев.

Пост Counterfeit Ledger Nano S+ Drains Wallets Across 20 Chains впервые появился на Live Bitcoin News.