Ledger Nano S+ Giả Mạo Rút Cạn Ví Trên 20 Chuỗi

Một nhà nghiên cứu bảo mật tại Brazil vạch trần hoạt động Ledger Nano S+ giả mạo sử dụng phần mềm độc hại và ứng dụng giả để rút sạch ví trên 20 blockchain.

Một nhà nghiên cứu bảo mật tại Brazil đã vạch trần một trong những hoạt động Ledger Nano S+ giả mạo tinh vi nhất từng được ghi nhận. Thiết bị giả, có nguồn gốc từ một thị trường Trung Quốc, mang theo phần mềm độc hại tùy chỉnh và một ứng dụng nhân bản. Kẻ tấn công ngay lập tức đánh cắp mọi cụm từ khôi phục mà người dùng nhập vào.

Nhà nghiên cứu đã mua thiết bị này do nghi ngờ về sự bất thường về giá. Khi mở ra, bản chất giả mạo rất rõ ràng. Thay vì vứt bỏ nó, một quá trình tháo dỡ hoàn toàn đã được thực hiện.

Những Gì Ẩn Giấu Bên Trong Chip

Ledger Nano S+ chính hãng sử dụng chip ST33 Secure Element. Thiết bị này lại có ESP32-S3. Các dấu hiệu nhận dạng trên chip đã bị chà nhám vật lý để ngăn chặn việc xác định. Phần mềm tự nhận dạng là "Ledger Nano S+ V2.1" — một phiên bản không tồn tại.

Các điều tra viên phát hiện cụm từ khôi phục và mã PIN được lưu trữ dưới dạng văn bản thuần túy sau khi thực hiện kết xuất bộ nhớ. Phần mềm kết nối với máy chủ chỉ huy và điều khiển tại kkkhhhnnn[.]com. Bất kỳ cụm từ khôi phục nào được nhập vào phần cứng này đều bị đánh cắp ngay lập tức.

Thiết bị hỗ trợ khoảng 20 blockchain để rút sạch ví. Đó không phải là một hoạt động nhỏ.

Năm Vector Tấn Công, Không Phải Một

Người bán đã đi kèm một ứng dụng "Ledger Live" đã sửa đổi với thiết bị. Các nhà phát triển xây dựng ứng dụng bằng React Native sử dụng Hermes v96 và ký với chứng chỉ Android Debug. Những kẻ tấn công không bận tâm đến việc có được chữ ký hợp pháp.

Ứng dụng kết nối với XState để chặn các lệnh APDU. Nó sử dụng các yêu cầu XHR lén lút để lấy dữ liệu một cách im lặng. Các điều tra viên xác định thêm hai máy chủ chỉ huy và điều khiển: s6s7smdxyzbsd7d7nsrx[.]icu và ysknfr[.]cn.

Điều này không giới hạn ở Android. Cùng một hoạt động phân phối tệp .EXE cho Windows và .DMG cho macOS, tương tự các chiến dịch được Moonlock theo dõi dưới tên AMOS/JandiInstaller. Một phiên bản iOS TestFlight cũng lưu hành, bỏ qua hoàn toàn quá trình xem xét App Store — một chiến thuật trước đây liên quan đến các vụ lừa đảo CryptoRom. Tổng cộng năm vector: phần cứng, Android, Windows, macOS, iOS.

Kiểm Tra Chính Hãng Không Thể Cứu Bạn Ở Đây

Hướng dẫn chính thức của Ledger xác nhận rằng các thiết bị chính hãng mang theo một bộ khóa mật mã bí mật được thiết lập trong quá trình sản xuất. Tính năng Ledger Genuine Check trong Ledger Wallet xác minh khóa này mỗi khi thiết bị kết nối. Theo tài liệu hỗ trợ của Ledger, chỉ một thiết bị chính hãng mới có thể vượt qua kiểm tra đó.

Vấn đề rất đơn giản. Một sự xâm phạm trong quá trình sản xuất khiến bất kỳ kiểm tra phần mềm nào trở nên vô dụng. Phần mềm độc hại bắt chước đủ hành vi dự kiến để vượt qua các kiểm tra cơ bản. Nhà nghiên cứu đã xác nhận điều này trực tiếp trong quá trình tháo dỡ.

Các cuộc tấn công chuỗi cung ứng nhắm vào người dùng Ledger trong quá khứ đã liên tục cho thấy rằng chỉ xác minh ở cấp độ đóng gói là không đủ. Các trường hợp được ghi nhận trên BitcoinTalk ghi lại người dùng cá nhân mất hơn 200,000 đô la vào ví phần cứng giả từ các thị trường của bên thứ ba.

Nơi Những Thiết Bị Này Đang Được Bán

Các thị trường của bên thứ ba là kênh phân phối chính. Người bán bên thứ ba trên Amazon, eBay, Mercado Livre, JD và AliExpress đều có lịch sử được ghi nhận về việc niêm yết các ví phần cứng bị xâm phạm, nhà nghiên cứu lưu ý trong bài đăng Reddit trên r/ledgerwallet.

Mức giá được cố ý làm cho đáng ngờ. Đó là mồi nhử. Một nguồn không chính thức không cung cấp Ledger giảm giá như một giao dịch tốt—nó bán một sản phẩm bị xâm phạm để mang lại lợi ích cho kẻ tấn công.

Các kênh chính thức của Ledger là trang thương mại điện tử riêng của nó tại Ledger.com và các cửa hàng Amazon đã xác minh trên 18 quốc gia. Không có nơi nào khác đảm bảo tính xác thực.

Nhà Nghiên Cứu Đang Làm Gì Tiếp Theo

Nhóm đã chuẩn bị một báo cáo kỹ thuật toàn diện cho nhóm Donjon của Ledger và chương trình tiền thưởng chống lừa đảo của nó, và sẽ phát hành bản viết đầy đủ sau khi Ledger hoàn thành phân tích nội bộ.

Nhà nghiên cứu đã cung cấp các IOC cho các chuyên gia bảo mật khác thông qua tin nhắn trực tiếp. Bất kỳ ai đã mua thiết bị từ nguồn đáng ngờ đều có thể liên hệ để được hỗ trợ xác định.

Các dấu hiệu cảnh báo chính vẫn đơn giản. Một cụm từ khôi phục được tạo sẵn đi kèm với thiết bị là một vụ lừa đảo. Tài liệu yêu cầu người dùng nhập cụm từ khôi phục vào ứng dụng là một vụ lừa đảo. Hủy thiết bị ngay lập tức trong cả hai trường hợp.

Bài viết Counterfeit Ledger Nano S+ Drains Wallets Across 20 Chains xuất hiện đầu tiên trên Live Bitcoin News.