Een in Brazilië gevestigde beveiligingsonderzoeker legt een vervalste Ledger Nano S+-operatie bloot die kwaadaardige firmware en nep-apps gebruikt om wallets op 20 blockchains leeg te halen.
Een in Brazilië gevestigde beveiligingsonderzoeker heeft een van de meest geavanceerde vervalste Ledger Nano S+-operaties ooit gedocumenteerd, blootgelegd. Het nepapparaat, afkomstig van een Chinese marktplaats, bevatte aangepaste kwaadaardige firmware en een gekloonde app. De aanvaller stal onmiddellijk elke seedzin die gebruikers invoerden.
De onderzoeker kocht het apparaat op verdenking van prijsafwijkingen. Bij het openen was de vervalste aard ervan duidelijk. In plaats van het weg te gooien, volgde een volledige ontleding.
Wat er in de chip verborgen zat
De echte Ledger Nano S+ gebruikt een ST33 Secure Element-chip. Dit apparaat had in plaats daarvan een ESP32-S3. De chipmarkeringen waren fysiek weggeschuurd om identificatie te blokkeren. De firmware identificeerde zichzelf als “Ledger Nano S+ V2.1” — een versie die niet bestaat.
Onderzoekers vonden zaadzinnen en pincodes opgeslagen in platte tekst na het uitvoeren van een geheugendump. De firmware communiceerde met een command-and-controlserver op kkkhhhnnn[.]com. Elke seedzin die in deze hardware werd ingevoerd, werd onmiddellijk uitgefilterd.
Het apparaat ondersteunt ongeveer 20 blockchains voor het leegmaken van wallets. Dat is geen kleinschalige operatie.
Vijf aanvalsvectoren, niet één
De verkoper leverde een aangepaste “Ledger Live”-app met het apparaat. De ontwikkelaars bouwden de app met React Native met behulp van Hermes v96 en ondertekenden deze met een Android Debug-certificaat. De aanvallers namen niet de moeite om een legitieme handtekening te verkrijgen.
De app maakt gebruik van XState om APDU-commando’s te onderscheppen. Het gebruikt stille XHR-verzoeken om gegevens geruisloos te extraheren. Onderzoekers identificeerden twee extra command-and-controlservers: s6s7smdxyzbsd7d7nsrx[.]icu en ysknfr[.]cn.
Dit is niet beperkt tot Android. Dezelfde operatie verspreidt een .EXE voor Windows en een .DMG voor macOS, vergelijkbaar met campagnes die door Moonlock worden gevolgd onder AMOS/JandiInstaller. Een iOS TestFlight-versie circuleert ook, waardoor de App Store-beoordeling volledig wordt omzeild — een tactiek die eerder werd gekoppeld aan CryptoRom-zwendel. In totaal vijf vectoren: hardware, Android, Windows, macOS, iOS.
De echte check kan je hier niet redden
De officiële richtlijnen van Ledger bevestigen dat echte apparaten een geheime cryptografische sleutel bevatten die tijdens de productie wordt ingesteld. De Ledger Genuine Check in Ledger Wallet verifieert deze sleutel elke keer dat een apparaat verbinding maakt. Volgens de ondersteuningsdocumentatie van Ledger kan alleen een echt apparaat die check doorstaan.
Het probleem is eenvoudig. Een compromis tijdens de productie maakt elke softwarecheck nutteloos. De kwaadaardige firmware bootst voldoende van het verwachte gedrag na om basiscontroles te passeren. De onderzoeker bevestigde dit rechtstreeks in de ontleding.
Eerdere toeleveringsketenaanvallen gericht op Ledger-gebruikers hebben herhaaldelijk aangetoond dat verificatie op verpakkingsniveau alleen onvoldoende is. Gedocumenteerde gevallen op BitcoinTalk registreren individuele gebruikers die meer dan $200.000 verloren aan nep-hardwarewallets van marktplaatsen van derden.
Waar deze apparaten worden verkocht
Marktplaatsen van derden zijn het primaire distributiekanaal. Amazon-derdenverkopers, eBay, Mercado Livre, JD en AliExpress hebben allemaal gedocumenteerde geschiedenissen van het aanbieden van gecompromitteerde hardwarewallets, merkte de onderzoeker op in de Reddit-post op r/ledgerwallet.
Het prijspunt is opzettelijk verdacht. Dat is het lokaas. Een niet-officiële bron biedt geen Ledger met korting als een goede deal aan — het verkoopt een gecompromitteerd product ten gunste van de aanvaller.
De officiële kanalen van Ledger zijn zijn eigen e-commerce site op Ledger.com en geverifieerde Amazon-winkels in 18 landen. Nergens anders is er enige garantie van authenticiteit.
Wat de onderzoeker hierna doet
Het team heeft een uitgebreid technisch rapport voorbereid voor het Donjon-team van Ledger en zijn phishing-bountyprogramma, en het zal het volledige verslag vrijgeven nadat Ledger zijn interne analyse heeft voltooid.
De onderzoeker heeft IOCs beschikbaar gesteld aan andere beveiligingsprofessionals via directe berichten. Iedereen die een apparaat heeft gekocht bij een twijfelachtige bron kan contact opnemen voor identificatiehulp.
De belangrijkste waarschuwingssignalen blijven eenvoudig. Een vooraf gegenereerde seedzin die bij het apparaat wordt geleverd, is een zwendel. Documentatie die gebruikers vraagt een seedzin in een app te typen, is een zwendel. Vernietig het apparaat onmiddellijk in beide gevallen.
Geef een reactie