- дата публікації
Виявлено підроблений гаманець Ledger з прихованим чіпом, що краде фрази-сід і PIN-коди.
- джерело
- сайт
- cryptopotato.com
- відкрити джерело
Бразильський дослідник кібербезпеки викрив масштабну шахрайську операцію після покупки "апаратного гаманця" Ledger з китайського ринку, який здавалося довірливим і коштував так само, як у офіційному магазині.
Пакування виглядало оригінальним, але пристрій виявився підробленим. Після підключення до програми Ledger Live, встановленої з сайту ledger.com, пристрій не пройшов автентифікацію, що підтвердило його підробленість.
Дослідник розібрав пристрій і виявив, що всередині знаходився інший чіп, відмінний від тієї моделі, що використовується в справжніх апаратних гаманцях.
Маркування чіпу було стерте, а також виявлено, що пристрій мав антену WiFi та Bluetooth, чого не має у справжнього Ledger Nano S+. В процесі аналізу мікросхеми дослідник ідентифікував чіп як ESP32-S3 з внутрішньою флеш-пам'яттю.
Хоча на початку пристрій маскувався під Ledger Nano S+ 7704, пізніше з’ясувалося, що його справжнім виробником є Espressif Systems.
Аналіз прошивки показав, що PIN-код і фрази від гаманців зберігаються у відкритому вигляді, а також виявлені домени, пов’язані з зовнішніми серверами управління. Дослідник ютив відомості про те, як може працювати атака.
Незважаючи на наявність антен, прошивка не виявила бездротової передачі даних.
Атака, швидше за все, залежала від взаємодії користувача з підробленим програмним забезпеченням, яке пропонувало скачати фальшивий "Ledger Live".
Після сканування QR-коду, що був у пакуванні, користувачі переходили на підроблений вебсайт, де могли завантажити фальшиві додатки, які перехоплювали дані гаманців. На думку дослідника, це не є вразливістю у безпеці Ledger; це шахрайська операція, що поєднує підроблене апаратне забезпечення, шкідливі додатки та зовнішню інфраструктуру.
Дослідник також зазначив, що випадки з підробленими пристроями вже фіксувалися раніше, проте ця ситуація унікальна, оскільки охоплює всю систему, включаючи апаратуру, додатки та канали збуту через підприємства-прокладки. Звіт про це було надіслано до команди підтримки клієнтів Ledger, і дослідник готує детальний технічний аналіз, щоб розглянути версії шкідливого програмного забезпечення для Windows, macOS та iOS.