Ein in Brasilien ansässiger Sicherheitsforscher deckt einen gefälschten Ledger Nano S+ Betrieb auf, der bösartige Firmware und gefälschte Apps nutzt, um Geldbörsen über 20 Blockchains zu leeren.
Ein in Brasilien ansässiger Sicherheitsforscher hat einen der ausgeklügeltsten jemals dokumentierten gefälschten Ledger Nano S+ Betriebe aufgedeckt. Das gefälschte Gerät, bezogen von einem chinesischen Marktplatz, enthielt eine speziell angefertigte bösartige Firmware und eine geklonte App. Der Angreifer stahl sofort jede Seed-Phrase, die die Benutzer eingaben.
Der Forscher kaufte das Gerät aufgrund des Verdachts von Preisunregelmäßigkeiten. Beim Öffnen war der gefälschte Charakter offensichtlich. Anstatt es wegzuwerfen, folgte eine vollständige Zerlegung.
Was sich im Chip verbarg
Der echte Ledger Nano S+ verwendet einen ST33 Secure Element Chip. Dieses Gerät hatte stattdessen einen ESP32-S3. Die Chip-Beschriftung wurde physisch abgeschliffen, um die Identifizierung zu blockieren. Die Firmware identifizierte sich selbst als „Ledger Nano S+ V2.1“ – eine Version, die es nicht gibt.
Die Ermittler fanden nach einem Speicherdump Seeds und PINs im Klartext gespeichert. Die Firmware sendete Signale an einen Command-and-Control-Server unter kkkhhhnnn[.]com. Jede in diese Hardware eingegebene Seed-Phrase wurde sofort exfiltriert.
Das Gerät unterstützt etwa 20 Blockchains zum Leeren der Geldbörsen. Das ist kein kleiner Betrieb.
Fünf Angriffsvektoren, nicht einer
Der Verkäufer lieferte eine modifizierte „Ledger Live“ App mit dem Gerät aus. Die Entwickler bauten die App mit React Native unter Verwendung von Hermes v96 und signierten sie mit einem Android Debug-Zertifikat. Die Angreifer bemühten sich nicht um eine legitime Signatur.
Die App hängt sich in XState ein, um APDU-Befehle abzufangen. Sie verwendet versteckte XHR-Anfragen, um Daten leise herauszuziehen. Die Ermittler identifizierten zwei weitere Command-and-Control-Server: s6s7smdxyzbsd7d7nsrx[.]icu und ysknfr[.]cn.
Dies ist nicht auf Android beschränkt. Derselbe Betrieb verteilt eine .EXE für Windows und eine .DMG für macOS, ähnlich Kampagnen, die von Moonlock unter AMOS/JandiInstaller verfolgt wurden. Eine iOS TestFlight-Version zirkuliert ebenfalls und umgeht die App Store-Überprüfung vollständig – eine Taktik, die zuvor mit CryptoRom-Betrug in Verbindung gebracht wurde. Insgesamt fünf Vektoren: Hardware, Android, Windows, macOS, iOS.
Die Echtheitsprüfung kann Sie hier nicht retten
Die offizielle Anleitung von Ledger bestätigt, dass echte Geräte einen geheimen kryptografischen Schlüssel tragen, der während der Herstellung gesetzt wird. Die Ledger Genuine Check in Ledger Wallet überprüft diesen Schlüssel jedes Mal, wenn ein Gerät verbunden wird. Laut der Support-Dokumentation von Ledger kann nur ein echtes Gerät diese Prüfung bestehen.
Das Problem ist einfach. Eine Kompromittierung während der Herstellung macht jede Softwareprüfung nutzlos. Die bösartige Firmware ahmt genug des erwarteten Verhaltens nach, um grundlegende Prüfungen zu passieren. Der Forscher bestätigte dies direkt in der Zerlegung.
Vergangene Lieferkettenangriffe auf Ledger-Benutzer haben wiederholt gezeigt, dass Verpackungsebene-Verifizierung allein nicht ausreicht. Dokumentierte Fälle auf BitcoinTalk verzeichnen einzelne Benutzer, die über 200.000 US-Dollar an gefälschte Hardware-Geldbörsen von Drittmarkplätzen verloren haben.
Wo diese Geräte verkauft werden
Drittmarkplätze sind der primäre Vertriebskanal. Amazon-Drittanbieter, eBay, Mercado Livre, JD und AliExpress haben alle dokumentierte Vorfälle von kompromittierten Hardware-Geldbörsen in ihren Listings, wie der Forscher im Reddit-Post auf r/ledgerwallet feststellte.
Der Preis ist absichtlich verdächtig. Das ist der Köder. Eine nicht-offizielle Quelle bietet keinen reduzierten Ledger als Schnäppchen an – sie verkauft ein kompromittiertes Produkt zum Vorteil des Angreifers.
Ledgers offizielle Kanäle sind die eigene E-Commerce-Website unter Ledger.com und verifizierte Amazon-Stores in 18 Ländern. Nirgendwo sonst gibt es eine Garantie für Authentizität.
Was der Forscher als Nächstes tut
Das Team hat einen umfassenden technischen Bericht für Ledgers Donjon-Team und dessen Phishing-Bounty-Programm vorbereitet und wird den vollständigen Bericht veröffentlichen, nachdem Ledger seine interne Analyse abgeschlossen hat.
Der Forscher hat IOCs anderen Sicherheitsprofis über Direktnachrichten zur Verfügung gestellt. Jeder, der ein Gerät aus einer fragwürdigen Quelle gekauft hat, kann sich zur Identifizierungshilfe melden.
Die wichtigsten Warnsignale bleiben einfach. Eine vorab generierte Seed-Phrase, die dem Gerät beiliegt, ist ein Betrug. Eine Dokumentation, die Benutzer auffordert, eine Seed-Phrase in eine App einzugeben, ist ein Betrug. Zerstören Sie das Gerät in beiden Fällen sofort.
Schreibe einen Kommentar