Ein in Brasilien ansässiger Sicherheitsforscher deckt einen gefälschten Ledger Nano S+-Vorgang auf, der bösartige Firmware und gefälschte Apps verwendet, um Geldbörsen in 20 Blockchains zu leeren.
Ein in Brasilien ansässiger Sicherheitsforscher hat einen der raffiniertesten Fälle aufgedeckt gefälschter Ledger Nano S+Operationen, die jemals dokumentiert wurden. Das gefälschte Gerät, das von einem chinesischen Marktplatz stammte, enthielt benutzerdefinierte schädliche Firmware und eine geklonte App. Der Angreifer stahl sofort jede von Benutzern eingegebene Startphrase.
Der Forscher kaufte das Gerät wegen des Verdachts auf Preisunregelmäßigkeiten. Beim Öffnen fiel sofort auf, dass es sich um eine Fälschung handelte. Anstatt es wegzuwerfen, folgte ein vollständiger Abriss.
Was im Chip verborgen war
Der echte Ledger Nano S+ verwendet einen ST33 Secure Element Chip. Dieses Gerät hatte stattdessen einen ESP32-S3. Zur Blockidentifizierung wurden die Chipmarkierungen physisch abgeschliffen. Die Firmware identifizierte sich als „Ledger Nano S+ V2.1“ – eine Version, die es nicht gibt.
Nach einem Speicherauszug fanden die Ermittler im Klartext gespeicherte Seeds und PINs. Die Firmware wurde an einen Command-and-Control-Server unter kkkhhhnnn[.]com weitergeleitet. Jede in diese Hardware eingegebene Startphrase wurde sofort exfiltriert.
Das Gerät unterstützt etwa 20 Blockchains zum Entleeren der Brieftasche. Das ist keine geringfügige Operation.
Fünf Angriffsvektoren, nicht einer
Der Verkäufer hat dem Gerät eine modifizierte „Ledger Live“-App beigelegt. Die Entwickler haben die App mit React Native unter Verwendung von Hermes v96 erstellt und mit einem Android-Debug-Zertifikat signiert. Die Angreifer machten sich nicht die Mühe, eine legitime Signatur zu erhalten.
Die App hakt sich in XState ein, um APDU-Befehle abzufangen. Es verwendet heimliche XHR-Anfragen, um Daten stillschweigend abzurufen. Die Ermittler identifizierten zwei weitere Command-and-Control-Server: s6s7smdxyzbsd7d7nsrx[.]icu und ysknfr[.]cn.
Dies ist nicht auf Android beschränkt. Der gleiche Vorgang verteilt eine .EXE-Datei für Windows und eine .DMG-Datei für macOS, was Kampagnen ähnelt, die von Moonlock unter AMOS/JandiInstaller verfolgt werden. EiniOSEs ist auch eine TestFlight-Version im Umlauf, die die Überprüfung im App Store vollständig umgeht – eine Taktik, die früher mit CryptoRom-Betrügereien in Verbindung gebracht wurde. Insgesamt fünf Vektoren: Hardware, Android, Windows, macOS, iOS.
Der echte Scheck kann Sie hier nicht retten
Die offiziellen Leitlinien von Ledger bestätigen, dass Originalgeräte bei der Herstellung über einen geheimen kryptografischen Schlüsselsatz verfügen. Das Ledger Genuine Check-in-Ledger-Wallet überprüft diesen Schlüssel jedes Mal, wenn ein Gerät eine Verbindung herstellt. Entsprechend Support-Dokumentation von Ledger, nur ein Originalgerät kann diese Prüfung bestehen.
Das Problem ist einfach. Ein Kompromiss während der Herstellung macht jede Softwareprüfung nutzlos. Die bösartige Firmware ahmt das erwartete Verhalten ausreichend nach, um grundlegende Prüfungen zu bestehen. Dies bestätigte der Forscher direkt im Teardown.
Vergangenheit Lieferkettenangriffe, die auf Ledger-Benutzer abzielenhaben wiederholt gezeigt, dass die Überprüfung auf Verpackungsebene allein nicht ausreicht. Dokumentierte Fälle auf BitcoinTalk belegen, dass einzelne Benutzer über 200.000 US-Dollar durch gefälschte Hardware-Wallets von Marktplätzen Dritter verloren haben.
Wo diese Geräte verkauft werden
Marktplätze von Drittanbietern sind der primäre Vertriebskanal. Amazon-Drittanbieter, eBay, Mercado Livre, JD und AliExpress haben allesamt dokumentierte Geschichten über die Auflistung kompromittierter Hardware-Wallets, wie der Forscher im Reddit-Beitrag auf r/ledgerwallet feststellte.
Der Preis ist bewusst verdächtig. Das ist die Verlockung. Eine inoffizielle Quelle bietet kein vergünstigtes Ledger als Angebot an – sie verkauft ein kompromittiertes Produkt zum Nutzen des Angreifers.
Die offiziellen Kanäle von Ledger sind die eigene E-Commerce-Website Ledger.com und verifizierte Amazon-Shops in 18 Ländern. Nirgendwo sonst gibt es eine Echtheitsgarantie.
Was der Forscher als nächstes tut
Das Team hat einen umfassenden technischen Bericht für das Donjon-Team von Ledger und sein Phishing-Bounty-Programm erstellt und wird den vollständigen Bericht veröffentlichen, nachdem Ledger seine interne Analyse abgeschlossen hat.
Der Forscher hat IOCs über Direktnachrichten anderen Sicherheitsexperten zugänglich gemacht. Jeder, der ein Gerät aus einer fragwürdigen Quelle gekauft hat, kann Hilfe bei der Identifizierung in Anspruch nehmen.
Die wichtigsten Warnsignale bleiben einfach. Eine im Lieferumfang des Geräts enthaltene vorgenerierte Startphrase ist ein Betrug. Die Dokumentation, in der Benutzer aufgefordert werden, eine Startphrase in eine App einzugeben, ist ein Betrug. Zerstören Sie das Gerät in jedem Fall sofort.
Quelle: Live Bitcoin News
Schreibe einen Kommentar