Підроблений Ledger Nano S+ зливає гаманці у 20 мережах

Бразильський дослідник безпеки виявив підробну операцію Ledger Nano S+, яка використовує шкідливе програмне забезпечення та фальшиві застосунки для вичерпування гаманців у 20 блокчейнах.

Бразильський дослідник безпеки виявив одну з найскладніших підроблених операцій Ledger Nano S+, які коли-небудь були задокументовані. Підроблений пристрій, придбаний на китайському ринку, містив спеціальне шкідливе програмне забезпечення та клонований застосунок. Зловмисник миттєво викрадав кожну seed-фразу, яку вводили користувачі.

Дослідник придбав пристрій через підозру щодо цінових нестиковок. Після розкриття підробна природа була очевидною. Замість того, щоб викинути його, було проведено повний розбір.

Що було приховано всередині мікросхеми

Справжній Ledger Nano S+ використовує мікросхему ST33 Secure Element. Цей пристрій натомість мав ESP32-S3. Маркування мікросхеми було фізично зішліфовано, щоб заблокувати ідентифікацію. Програмне забезпечення ідентифікувало себе як "Ledger Nano S+ V2.1" — версія, якої не існує.

Дослідники виявили seed-фрази та PIN-коди, збережені у звичайному тексті після проведення дампу пам'яті. Програмне забезпечення передавало сигнали на сервер командування та контролю за адресою kkkhhhnnn[.]com. Будь-яка seed-фраза, введена в це обладнання, негайно викрадалася.

Пристрій підтримує приблизно 20 блокчейнів для вичерпування гаманців. Це не незначна операція.

П'ять векторів атаки, а не один

Продавець включив модифікований застосунок "Ledger Live" разом з пристроєм. Розробники створили застосунок за допомогою React Native, використовуючи Hermes v96, і підписали його сертифікатом Android Debug. Зловмисники не потрудилися отримати легітимний підпис.

Застосунок підключається до XState для перехоплення команд APDU. Він використовує приховані XHR-запити для тихого витягування даних. Дослідники ідентифікували два додаткові сервери командування та контролю: s6s7smdxyzbsd7d7nsrx[.]icu та ysknfr[.]cn.

Це не обмежується Android. Та сама операція розповсюджує .EXE для Windows та .DMG для macOS, нагадуючи кампанії, які відстежуються Moonlock під назвою AMOS/JandiInstaller. Версія iOS TestFlight також поширюється, повністю обходячи перевірку App Store — тактика, раніше пов'язана зі шахрайством CryptoRom. Усього п'ять векторів: апаратне забезпечення, Android, Windows, macOS, iOS.

Перевірка справжності не може вас тут врятувати

Офіційне керівництво Ledger підтверджує, що справжні пристрої містять секретний криптографічний ключ, встановлений під час виробництва. Ledger Genuine Check у Ledger Wallet перевіряє цей ключ кожного разу, коли пристрій підключається. Згідно з документацією підтримки Ledger, лише справжній пристрій може пройти цю перевірку.

Проблема проста. Компроміс під час виробництва робить будь-яку програмну перевірку марною. Шкідливе програмне забезпечення імітує достатньо очікуваної поведінки, щоб пройти базові перевірки. Дослідник підтвердив це безпосередньо під час розбору.

Минулі атаки на ланцюг постачання, спрямовані на користувачів Ledger, неодноразово показували, що лише верифікація на рівні упаковки є недостатньою. Задокументовані випадки на BitcoinTalk фіксують, як окремі користувачі втратили понад 200 000 доларів через підроблені апаратні гаманці зі сторонніх платформ.

Де продаються ці пристрої

Сторонні платформи є основним каналом розповсюдження. Amazon третіх сторін, eBay, Mercado Livre, JD та AliExpress мають задокументовану історію розміщення скомпрометованих апаратних гаманців, зазначив дослідник у публікації Reddit на r/ledgerwallet.

Ціна навмисно підозріла. Це і є приманка. Неофіційне джерело не пропонує знижку на Ledger як вигідну пропозицію — воно продає скомпрометований продукт на користь зловмисника.

Офіційними каналами Ledger є власний сайт електронної комерції на Ledger.com та перевірені магазини Amazon у 18 країнах. Ніде більше немає жодної гарантії автентичності.

Що робитиме дослідник далі

Команда підготувала комплексний технічний звіт для команди Donjon компанії Ledger та її програми винагороди за фішинг і оприлюднить повний звіт після завершення внутрішнього аналізу Ledger.

Дослідник зробив IOC доступними для інших фахівців з безпеки через прямі повідомлення. Будь-хто, хто придбав пристрій з сумнівного джерела, може звернутися за допомогою в ідентифікації.

Ключові попереджувальні ознаки залишаються простими. Попередньо згенерована seed-фраза, що додається до пристрою, є шахрайством. Документація, яка просить користувачів ввести seed-фразу в застосунок, є шахрайством. Негайно знищте пристрій у будь-якому з цих випадків.

Публікація Counterfeit Ledger Nano S+ Drains Wallets Across 20 Chains вперше з'явилася на Live Bitcoin News.