لجر نانو S+ جعلی کیف پول‌ها را در 20 زنجیره تخلیه می‌کند

محقق امنیتی مستقر در برزیل یک عملیات جعلی Ledger Nano S+ را که از فریم‌ویر مخرب و برنامه‌های جعلی برای تخلیه کیف پول‌ها در 20 بلاک چین استفاده می‌کند، افشا می‌کند.

محقق امنیتی مستقر در برزیل یکی از پیچیده‌ترین عملیات جعلی Ledger Nano S+ که تاکنون مستند شده است را افشا کرده است. دستگاه جعلی که از یک بازار چینی تهیه شده بود، دارای فریم‌ویر مخرب سفارشی و برنامه شبیه‌سازی شده بود. مهاجم بلافاصله تمام عبارات بازیابی که کاربران وارد می‌کردند را سرقت کرد.

محقق این دستگاه را به دلیل مشکوک بودن به بی‌نظمی قیمت خریداری کرد. پس از باز کردن آن، ماهیت جعلی آن واضح بود. به جای دور انداختن آن، بازبینی کامل انجام شد.

آنچه در داخل تراشه پنهان بود

Ledger Nano S+ اصلی از تراشه ST33 Secure Element استفاده می‌کند. این دستگاه به جای آن ESP32-S3 داشت. علامت‌گذاری‌های تراشه به صورت فیزیکی سنباده شده بودند تا شناسایی مسدود شود. فریم‌ویر خود را به عنوان "Ledger Nano S+ V2.1" معرفی می‌کرد - نسخه‌ای که وجود ندارد.

بازرسان پس از انجام تخلیه حافظه، عبارات بازیابی و کدهای PIN را به صورت متن ساده ذخیره شده یافتند. فریم‌ویر به سرور فرمان و کنترل در kkkhhhnnn[.]com سیگنال می‌داد. هر عبارت بازیابی وارد شده در این سخت‌افزار فوراً خارج می‌شد.

دستگاه تقریباً از 20 بلاک چین برای تخلیه کیف پول پشتیبانی می‌کند. این یک عملیات جزئی نیست.

پنج بردار حمله، نه یکی

فروشنده یک برنامه اصلاح‌شده "Ledger Live" را با دستگاه بسته‌بندی کرده بود. توسعه‌دهندگان برنامه را با React Native با استفاده از Hermes v96 ساختند و آن را با گواهینامه Android Debug امضا کردند. مهاجمان زحمت دریافت امضای قانونی را نداشتند.

برنامه به XState متصل می‌شود تا دستورات APDU را رهگیری کند. از درخواست‌های XHR مخفیانه برای خارج کردن داده‌ها به صورت بی‌صدا استفاده می‌کند. بازرسان دو سرور فرمان و کنترل اضافی را شناسایی کردند: s6s7smdxyzbsd7d7nsrx[.]icu و ysknfr[.]cn.

این محدود به Android نیست. همان عملیات یک فایل .EXE برای Windows و یک فایل .DMG برای macOS توزیع می‌کند که شبیه کمپین‌های ردیابی شده توسط Moonlock تحت AMOS/JandiInstaller است. یک نسخه TestFlight iOS نیز در گردش است که بررسی App Store را به طور کامل دور می‌زند - تاکتیکی که قبلاً به کلاهبرداری‌های CryptoRom مرتبط بود. در مجموع پنج بردار: سخت‌افزار، Android، Windows، macOS، iOS.

بررسی اصالت نمی‌تواند شما را در اینجا نجات دهد

راهنمای رسمی Ledger تأیید می‌کند که دستگاه‌های اصلی دارای کلید رمزنگاری مخفی هستند که در حین تولید تنظیم می‌شود. Ledger Genuine Check در Ledger Wallet این کلید را هر بار که دستگاهی متصل می‌شود تأیید می‌کند. طبق مستندات پشتیبانی Ledger، فقط یک دستگاه اصلی می‌تواند از این بررسی عبور کند.

مشکل ساده است. یک سازش در حین تولید هر بررسی نرم‌افزاری را بی‌فایده می‌کند. فریم‌ویر مخرب به اندازه کافی از رفتار مورد انتظار تقلید می‌کند تا از بررسی‌های اساسی عبور کند. محقق این را مستقیماً در بازبینی تأیید کرد.

در گذشته حملات زنجیره تأمین که کاربران Ledger را هدف قرار می‌دهند بارها نشان داده‌اند که تأیید در سطح بسته‌بندی به تنهایی کافی نیست. موارد مستند شده در BitcoinTalk ثبت می‌کنند که کاربران فردی بیش از 200,000 دلار را به کیف پول‌های سخت‌افزاری جعلی از بازارهای شخص ثالث از دست داده‌اند.

کجا این دستگاه‌ها فروخته می‌شوند

بازارهای شخص ثالث کانال توزیع اصلی هستند. فروشندگان شخص ثالث Amazon، eBay، Mercado Livre، JD و AliExpress همگی سابقه مستندی از فهرست کردن کیف پول‌های سخت‌افزاری در معرض خطر دارند، محقق در پست Reddit در r/ledgerwallet اشاره کرد.

نقطه قیمت عمداً مشکوک است. این طعمه است. یک منبع غیررسمی Ledger با تخفیف را به عنوان یک معامله ارائه نمی‌دهد - محصول در معرض خطری را می‌فروشد که به نفع مهاجم است.

کانال‌های رسمی Ledger سایت تجارت الکترونیک خود در Ledger.com و فروشگاه‌های Amazon تأیید شده در 18 کشور هستند. هیچ جای دیگری هیچ تضمینی برای اصالت ندارد.

محقق بعداً چه کاری انجام می‌دهد

تیم یک گزارش فنی جامع برای تیم Donjon Ledger و برنامه جایزه فیشینگ آن آماده کرد و پس از اتمام تحلیل داخلی Ledger، گزارش کامل را منتشر خواهد کرد.

محقق IOC را از طریق پیام‌های مستقیم برای سایر متخصصان امنیتی در دسترس قرار داده است. هر کسی که دستگاهی را از منبع مشکوک خریداری کرده است می‌تواند برای کمک به شناسایی تماس بگیرد.

پرچم‌های قرمز کلیدی ساده باقی می‌مانند. یک عبارت بازیابی از پیش تولید شده همراه با دستگاه یک کلاهبرداری است. مستنداتی که از کاربران می‌خواهد عبارت بازیابی را در یک برنامه تایپ کنند یک کلاهبرداری است. در هر صورت دستگاه را فوراً نابود کنید.

پست Counterfeit Ledger Nano S+ Drains Wallets Across 20 Chains ابتدا در Live Bitcoin News ظاهر شد.