Дослідник виявляє підроблений Ledger Nano S, модифікований для крадіжки криптоактивів

Бразильський дослідник безпеки виявив складну операцію підробленого пристрою Ledger після того, як знайшов модифіковане обладнання, призначене для siphon криптовалюти у недосвідчених користувачів.

Резюме

• Бразильський дослідник безпеки ідентифікував складну апаратну компрометацію підробленого Ledger Nano S Plus, яка використовувала модифіковане прошивання для захоплення фраз відновлення користувачів.
• Фізичний огляд шахрайського пристрою показав додавання несанкціонованих компонентів WiFi і Bluetooth разом із чипом другого виробника, прихованим під зчищеними маркуваннями.
• Операція базується на обманливому QR-коді, включеному у пакування, щоб заманити користувачів завантажити шкідливий додаток, який обходить офіційні перевірки безпеки.

Дослідник безпеки, відомий онлайн як “Past_Computer2901,” поділився висновками на Reddit після покупки, що, здавалося, був стандартним Ledger Nano S Plus, з китайського ринку.

Незважаючи на відповідність пакування та цінової політики офіційним стандартам, пристрій не пройшов “Перевірку автентичності” при підключенні до офіційного додатку Ledger Live для настільних комп’ютерів.

Це червоний прапорець спонукав до фізичного розбору пристрою, що показав, що внутрішня схема була змінена для включення антен WiFi і Bluetooth — функцій, яких у легітимній моделі не було.

Маніпуляції з апаратним забезпеченням і шкідливі перенаправлення

Мошенники використовують ці підроблені пристрої для експлуатації новачків через обманливий процес налаштування.

QR-код, включений у пакування, спрямовує користувачів на фальшиву версію додатку Ledger Live, який запрограмований обходити попередження безпеки і видавати фальшиву перевірку автентичності обладнання.

Після того, як користувач виконає інструкції для створення або введення фрази відновлення, зламане прошивання захоплює ці дані, дозволяючи зловмисникам безперешкодно зливати кошти.

“Це не має викликати паніку, а скоріше слугувати серйозним попередженням — я чесно кажучи, досі трохи шокований масштабами цієї операції,” зазначив дослідник.

Внутрішній аналіз пристрою показав, що шахраї доклали великих зусиль, щоб приховати шахрайство, включаючи зчищення маркувань з оригінального чипа.

Підроблений пристрій Ledger. Джерело: Reddit

Хоча пристрій спочатку ідентифікував себе як Nano S Plus 7704 під час завантаження, фінальна послідовність показала, що виробником є компанія Espressif Systems, що базується у Шанхаї.

Ці модифікації суттєво порушують безпекову концепцію продуктів Ledger, які створені для збереження приватних ключів у строго офлайн-середовищі.

Відкриття слідує за інцидентом на початку цього місяця, коли фальшивий додаток обійшов безпеку Apple App Store за допомогою тактики bait-and-switch. Шкідливе програмне забезпечення успішно обмануло понад 50 людей, змусивши їх розкрити фрази відновлення, що призвело до крадіжки 9,5 мільйонів доларів, перш ніж платформа видалила оголошення.

“Будьте обережні. Завантажуйте Ledger Live лише з ledger.com. Купуйте апаратне забезпечення лише з ledger.com. Якщо ваш пристрій не проходить Перевірку автентичності — негайно припиніть його використання,” попередив дослідник.

Як повідомлялося раніше crypto.news, шахраї також цілеспрямовано атакували клієнтів Ledger за допомогою підробленого додатку Ledger.