Nhà nghiên cứu bảo mật tại Brazil phơi bày chiến dịch làm giả Ledger Nano S+ sử dụng firmware độc hại và ứng dụng giả để rút sạch ví trên 20 blockchain.
Một nhà nghiên cứu bảo mật đóng tại Brazil đã phơi bày một trong những chiến dịch làm giả Ledger Nano S+ tinh vi nhất từng được ghi nhận. Thiết bị giả, có nguồn gốc từ một chợ trực tuyến Trung Quốc, chứa firmware độc hại tùy chỉnh và một ứng dụng sao chép. Kẻ tấn công ngay lập tức đánh cắp mọi cụm từ khôi phục (seed phrase) mà người dùng nhập vào.
Nhà nghiên cứu đã mua thiết bị này vì nghi ngờ giá cả bất thường. Khi mở ra, bản chất giả mạo đã lộ rõ. Thay vì vứt bỏ, một cuộc tháo dỡ toàn bộ đã được tiến hành.
Điều Gì Được Giấu Bên Trong Con Chip
Ledger Nano S+ chính hãng sử dụng chip ST33 Secure Element. Thiết bị này lại có một con ESP32-S3 bên trong. Các ký hiệu trên chip đã bị mài phẳng để ngăn chặn việc nhận dạng. Firmware tự nhận là “Ledger Nano S+ V2.1” — một phiên bản không hề tồn tại.
Các nhà điều tra phát hiện seed và mã PIN được lưu trữ dưới dạng văn bản thuần túy sau khi thực hiện dump bộ nhớ. Firmware này báo hiệu đến một máy chủ điều khiển và kiểm soát (C&C) tại kkkhhhnnn[.]com. Bất kỳ cụm từ khôi phục nào được nhập vào phần cứng này đều bị lấy cắp ngay lập tức.
Thiết bị hỗ trợ rút sạch ví trên khoảng 20 blockchain. Đây không phải là một chiến dịch nhỏ lẻ.
Năm Vectơ Tấn Công, Không Chỉ Một
Người bán kèm theo một ứng dụng “Ledger Live” đã bị sửa đổi cùng với thiết bị. Những kẻ phát triển đã xây dựng ứng dụng bằng React Native sử dụng Hermes v96 và ký nó bằng chứng chỉ Android Debug. Những kẻ tấn công không buồn lấy chữ ký hợp pháp.
Ứng dụng này móc nối vào XState để chặn các lệnh APDU. Nó sử dụng các yêu cầu XHR lén lút để lấy dữ liệu ra một cách âm thầm. Các nhà điều tra xác định thêm hai máy chủ điều khiển và kiểm soát: s6s7smdxyzbsd7d7nsrx[.]icu và ysknfr[.]cn.
Điều này không chỉ giới hạn ở Android. Chiến dịch tương tự cũng phân phối file .EXE cho Windows và .DMG cho macOS, giống với các chiến dịch được Moonlock theo dõi dưới tên AMOS/JandiInstaller. Một phiên bản dành cho iOS TestFlight cũng đang được lưu hành, hoàn toàn bỏ qua quy trình kiểm duyệt của App Store — một chiến thuật trước đây từng gắn liền với các vụ lừa đảo CryptoRom. Tổng cộng năm vectơ: phần cứng, Android, Windows, macOS, iOS.
Kiểm Tra Chính Hãng Cũng Không Cứu Nổi Ở Đây
Hướng dẫn chính thức của Ledger xác nhận rằng các thiết bị chính hãng mang một khóa mật mã bí mật được thiết lập trong quá trình sản xuất. Tính năng Kiểm tra Chính hãng Ledger trong Ledger Wallet sẽ xác minh khóa này mỗi khi thiết bị kết nối. Theo tài liệu hỗ trợ của Ledger, chỉ có thiết bị chính hãng mới vượt qua được kiểm tra đó.
Vấn đề rất rõ ràng. Một sự xâm phạm trong quá trình sản xuất khiến mọi kiểm tra phần mềm trở nên vô dụng. Firmware độc hại bắt chước đủ hành vi dự kiến để vượt qua các kiểm tra cơ bản. Nhà nghiên cứu đã xác nhận điều này trực tiếp trong quá trình tháo dỡ.
Các vụ tấn công chuỗi cung ứng nhắm vào người dùng Ledger trong quá khứ liên tục cho thấy chỉ xác minh ở cấp độ bao bì là không đủ. Các trường hợp được ghi nhận trên BitcoinTalk ghi nhận những người dùng cá nhân mất hơn 200.000 USD vào các ví phần cứng giả từ các chợ trực tuyến của bên thứ ba.
Những Thiết Bị Này Đang Được Bán Ở Đâu
Các chợ trực tuyến của bên thứ ba là kênh phân phối chính. Các nhà bán hàng bên thứ ba trên Amazon, eBay, Mercado Livre, JD và AliExpress đều có lịch sử được ghi nhận về việc niêm yết các ví phần cứng bị xâm phạm, nhà nghiên cứu lưu ý trong bài đăng trên Reddit tại r/ledgerwallet.
Mức giá được đặt một cách cố ý đáng ngờ. Đó chính là mồi nhử. Một nguồn không chính thức không cung cấp Ledger giảm giá như một món hời — họ bán một sản phẩm bị xâm phạm để mang lại lợi ích cho kẻ tấn công.
Các kênh chính thức của Ledger là trang thương mại điện tử riêng tại Ledger.com và các cửa hàng Amazon đã được xác minh trên 18 quốc gia. Không nơi nào khác đảm bảo tính xác thực.
Nhà Nghiên Cứu Sẽ Làm Gì Tiếp Theo
Nhóm nghiên cứu đã chuẩn bị một báo cáo kỹ thuật toàn diện cho đội Donjon của Ledger và chương trình tiền thưởng chống lừa đảo của họ, và sẽ công bố bản báo cáo đầy đủ sau khi Ledger hoàn tất phân tích nội bộ.
Nhà nghiên cứu đã cung cấp các Chỉ số Xâm phạm (IOCs) cho các chuyên gia bảo mật khác qua tin nhắn trực tiếp. Bất kỳ ai đã mua thiết bị từ một nguồn đáng ngờ có thể liên hệ để được hỗ trợ nhận dạng.
Các dấu hiệu cảnh báo chính vẫn rất đơn giản. Một cụm từ khôi phục được tạo sẵn đi kèm với thiết bị là lừa đảo. Tài liệu yêu cầu người dùng nhập cụm từ khôi phục vào một ứng dụng là lừa đảo. Trong cả hai trường hợp, hãy hủy thiết bị ngay lập tức.
Để lại một bình luận