Un chercheur en sécurité basé au Brésil expose une opération contrefaite du Ledger Nano S+ utilisant un micrologiciel malveillant et de fausses applications pour vider les portefeuilles de 20 blockchains.
Un chercheur en sécurité basé au Brésil a dévoilé l’un des systèmes les plus sophistiqués contrefaçon du Ledger Nano S+opérations jamais documentées. Le faux appareil, provenant d’un marché chinois, contenait un micrologiciel malveillant personnalisé et une application clonée. L’attaquant a immédiatement volé chaque phrase de départ saisie par les utilisateurs.
Le chercheur a acheté l’appareil parce qu’il était soupçonné d’irrégularités de prix. Dès l’ouverture, le caractère contrefait était évident. Au lieu de le jeter, un démontage complet a suivi.
Ce qui était caché à l’intérieur de la puce
Le véritable Ledger Nano S+ utilise une puce ST33 Secure Element. Cet appareil avait à la place un ESP32-S3. Les marques des puces ont été physiquement poncées pour bloquer l’identification. Le firmware s’est identifié comme « Ledger Nano S+ V2.1 » – une version qui n’existe pas.
Les enquêteurs ont trouvé des graines et des codes PIN stockés en texte brut après avoir effectué un vidage de la mémoire. Le micrologiciel a été envoyé à un serveur de commande et de contrôle sur kkkhhhnnn[.]com. Toute phrase de départ saisie dans ce matériel était exfiltrée instantanément.
L’appareil prend en charge environ 20 blockchains pour le drainage du portefeuille. Ce n’est pas une opération mineure.
Cinq vecteurs d’attaque, pas un
Le vendeur a fourni une application « Ledger Live » modifiée avec l’appareil. Les développeurs ont créé l’application avec React Native à l’aide d’Hermes v96 et l’ont signée avec un certificat de débogage Android. Les attaquants n’ont pas pris la peine d’obtenir une signature légitime.
L’application se connecte à XState pour intercepter les commandes APDU. Il utilise des requêtes XHR furtives pour extraire les données en silence. Les enquêteurs ont identifié deux serveurs de commande et de contrôle supplémentaires : s6s7smdxyzbsd7d7nsrx[.]icu et ysknfr[.]cn.
Cela ne se limite pas à Android. La même opération distribue un .EXE pour Windows et un .DMG pour macOS, ressemblant à des campagnes suivies par Moonlock sous AMOS/JandiInstaller. UnIOSLa version TestFlight circule également, contournant entièrement l’examen de l’App Store – une tactique auparavant liée aux escroqueries CryptoRom. Cinq vecteurs au total : matériel, Android, Windows, macOS, iOS.
Le chèque authentique ne peut pas vous sauver ici
Les directives officielles de Ledger confirment que les appareils authentiques portent une clé cryptographique secrète définie lors de la fabrication. Le Ledger Genuine Check dans Ledger Wallet vérifie cette clé chaque fois qu’un appareil se connecte. Selon Documentation d’assistance de Ledger, seul un appareil authentique peut passer ce contrôle.
Le problème est simple. Un compromis lors de la fabrication rend toute vérification logicielle inutile. Le micrologiciel malveillant imite suffisamment le comportement attendu pour passer les vérifications de base. Le chercheur l’a confirmé directement lors du démontage.
Passé attaques de la chaîne d’approvisionnement ciblant les utilisateurs de Ledgeront montré à plusieurs reprises que la seule vérification au niveau de l’emballage est insuffisante. Des cas documentés sur BitcoinTalk enregistrent des utilisateurs individuels perdant plus de 200 000 $ à cause de faux portefeuilles matériels provenant de marchés tiers.
Où ces appareils sont vendus
Les marchés tiers constituent le principal canal de distribution. Les vendeurs tiers d’Amazon, eBay, Mercado Livre, JD et AliExpress ont tous des antécédents documentés de liste de portefeuilles matériels compromis, a noté le chercheur dans l’article Reddit sur r/ledgerwallet.
Le prix est délibérément suspect. C’est ça l’attrait. Une source non officielle ne propose pas de Ledger à prix réduit : elle vend un produit compromis au profit de l’attaquant.
Les canaux officiels de Ledger sont son propre site de commerce électronique sur Ledger.com et des magasins Amazon vérifiés dans 18 pays. Nulle part ailleurs il n’y a de garantie d’authenticité.
Ce que fait ensuite le chercheur
L’équipe a préparé un rapport technique complet pour l’équipe Donjon de Ledger et son programme de primes contre le phishing, et publiera le rapport complet une fois que Ledger aura terminé son analyse interne.
Le chercheur a mis les IOC à la disposition d’autres professionnels de la sécurité via des messages directs. Toute personne ayant acheté un appareil auprès d’une source douteuse peut demander une aide à l’identification.
Les principaux signaux d’alarme restent simples. Une phrase de départ pré-générée incluse avec l’appareil est une arnaque. La documentation demandant aux utilisateurs de saisir une phrase de départ dans une application est une arnaque. Dans les deux cas, détruisez immédiatement l’appareil.
Source : Live Bitcoin News
Laisser un commentaire