Un chercheur en sécurité basé au Brésil expose une opération de contrefaçon du Ledger Nano S+ utilisant un micrologiciel malveillant et de fausses applications pour vider les portefeuilles sur 20 blockchains.
Un chercheur en sécurité basé au Brésil a exposé l’une des opérations de contrefaçon du Ledger Nano S+ les plus sophistiquées jamais documentées. Le faux appareil, provenant d’une marketplace chinoise, était équipé d’un micrologiciel malveillant personnalisé et d’une application clonée. L’attaquant volait immédiatement chaque phrase de récupération (seed phrase) saisie par les utilisateurs.
Le chercheur a acheté l’appareil en raison d’un soupçon d’anomalie de prix. En l’ouvrant, la nature contrefaite était évidente. Au lieu de le jeter, il a procédé à une analyse complète.
Ce qui était caché à l’intérieur de la puce
Le véritable Ledger Nano S+ utilise une puce Secure Element ST33. Cet appareil avait à la place un ESP32-S3. Les marquages de la puce avaient été physiquement poncés pour empêcher l’identification. Le micrologiciel s’identifiait comme « Ledger Nano S+ V2.1 » – une version qui n’existe pas.
Les enquêteurs ont trouvé les phrases de récupération et codes PIN stockés en texte clair après avoir effectué un dump de la mémoire. Le micrologiciel communiquait avec un serveur de commande et contrôle à l’adresse kkkhhhnnn[.]com. Toute phrase de récupération saisie dans ce matériel était exfiltrée instantanément.
L’appareil prend en charge environ 20 blockchains pour le vidage des portefeuilles. Ce n’est pas une opération mineure.
Cinq vecteurs d’attaque, pas un seul
Le vendeur a fourni une application « Ledger Live » modifiée avec l’appareil. Les développeurs ont construit l’application avec React Native en utilisant Hermes v96 et l’ont signée avec un certificat de débogage Android. Les attaquants ne se sont pas donné la peine d’obtenir une signature légitime.
L’application s’intercale dans XState pour intercepter les commandes APDU. Elle utilise des requêtes XHR furtives pour extraire les données en silence. Les enquêteurs ont identifié deux serveurs de commande et contrôle supplémentaires : s6s7smdxyzbsd7d7nsrx[.]icu et ysknfr[.]cn.
Cela ne se limite pas à Android. La même opération distribue un fichier .EXE pour Windows et un .DMG pour macOS, ressemblant à des campagnes suivies par Moonlock sous le nom AMOS/JandiInstaller. Une version iOS TestFlight circule également, contournant complètement la vérification de l’App Store – une tactique précédemment liée aux escroqueries CryptoRom. Cinq vecteurs au total : matériel, Android, Windows, macOS, iOS.
La vérification d’authenticité ne peut pas vous sauver ici
Les directives officielles de Ledger confirment que les appareils authentiques possèdent une clé cryptographique secrète définie lors de la fabrication. La vérification d’authenticité Ledger dans Ledger Wallet vérifie cette clé à chaque connexion d’un appareil. Selon la documentation d’assistance de Ledger, seul un appareil authentique peut passer ce test.
Le problème est simple. Une compromission pendant la fabrication rend tout contrôle logiciel inutile. Le micrologiciel malveillant imite suffisamment le comportement attendu pour franchir les vérifications de base. Le chercheur l’a confirmé directement lors de l’analyse.
Les précédentes attaques de la chaîne d’approvisionnement ciblant les utilisateurs de Ledger ont montré à plusieurs reprises que la vérification au niveau de l’emballage seule est insuffisante. Des cas documentés sur BitcoinTalk rapportent que des utilisateurs individuels ont perdu plus de 200 000 $ à cause de faux portefeuilles matériels provenant de marketplaces tierces.
Où ces appareils sont vendus
Les marketplaces tierces sont le principal canal de distribution. Les vendeurs tiers sur Amazon, eBay, Mercado Livre, JD et AliExpress ont tous des antécédents documentés d’annonces de portefeuilles matériels compromis, a noté le chercheur dans un post Reddit sur r/ledgerwallet.
Le prix est délibérément suspect. C’est l’appât. Une source non officielle n’offre pas un Ledger à prix réduit comme une bonne affaire – elle vend un produit compromis au profit de l’attaquant.
Les canaux officiels de Ledger sont son propre site e-commerce Ledger.com et les boutiques Amazon vérifiées dans 18 pays. Aucun autre lieu ne garantit l’authenticité.
Ce que le chercheur va faire ensuite
L’équipe a préparé un rapport technique complet pour l’équipe Donjon de Ledger et son programme de prime anti-hameçonnage (phishing bounty), et publiera l’analyse complète après que Ledger aura terminé son analyse interne.
Le chercheur a rendu les IOC (Indicateurs de Compromission) disponibles pour d’autres professionnels de la sécurité par messages directs. Toute personne ayant acheté un appareil auprès d’une source douteuse peut le contacter pour obtenir une aide à l’identification.
Les principaux signaux d’alarme restent simples. Une phrase de récupération pré-générée incluse avec l’appareil est une arnaque. Une documentation demandant aux utilisateurs de saisir une phrase de récupération dans une application est une arnaque. Détruisez immédiatement l’appareil dans l’un ou l’autre cas.
Laisser un commentaire