Một nhà nghiên cứu bảo mật có trụ sở tại Brazil đã vạch trần hoạt động giả mạo Ledger Nano S+ bằng cách sử dụng phần mềm độc hại và ứng dụng giả mạo để rút tiền trên 20 blockchain.
Một nhà nghiên cứu bảo mật có trụ sở tại Brazil đã phát hiện ra một trong những lỗ hổng phức tạp nhất Led giả Nano S+hoạt động từng được ghi lại. Thiết bị giả mạo có nguồn gốc từ một thị trường Trung Quốc, mang theo phần mềm độc hại tùy chỉnh và một ứng dụng nhân bản. Kẻ tấn công ngay lập tức đánh cắp mọi cụm từ hạt giống mà người dùng nhập vào.
Nhà nghiên cứu đã mua thiết bị này vì nghi ngờ có sự bất thường về giá. Khi mở nó ra, bản chất giả mạo đã lộ rõ. Thay vì loại bỏ nó, một sự sụp đổ hoàn toàn xảy ra sau đó.
Điều gì được ẩn bên trong con chip
Ledger Nano S+ chính hãng sử dụng chip ST33 Secure Element. Thay vào đó, thiết bị này có ESP32-S3. Các dấu chip đã được đánh dấu vật lý để nhận dạng khối. Phần sụn tự nhận mình là “Ledger Nano S+ V2.1” — một phiên bản không tồn tại.
Các nhà điều tra đã tìm thấy hạt giống và mã PIN được lưu trữ ở dạng văn bản thuần túy sau khi tiến hành kết xuất bộ nhớ. Phần sụn báo hiệu tới máy chủ ra lệnh và kiểm soát tại kkkhhhnnn[.]com. Bất kỳ cụm từ gốc nào được nhập vào phần cứng này đều được lọc ngay lập tức.
Thiết bị này hỗ trợ khoảng 20 blockchain để rút ví. Đó không phải là một hoạt động nhỏ.
Năm vectơ tấn công, không phải một
Người bán đã đính kèm một ứng dụng “Ledger Live” đã được sửa đổi đi kèm với thiết bị. Các nhà phát triển đã xây dựng ứng dụng bằng React Native bằng Hermes v96 và ký nó bằng chứng chỉ Gỡ lỗi Android. Những kẻ tấn công không thèm lấy chữ ký hợp pháp.
Ứng dụng nối vào XState để chặn các lệnh APDU. Nó sử dụng các yêu cầu XHR lén lút để lấy dữ liệu ra một cách âm thầm. Các nhà điều tra đã xác định được hai máy chủ ra lệnh và kiểm soát bổ sung: s6s7smdxyzbsd7d7nsrx[.]icu và ysknfr[.]cn.
Điều này không giới hạn ở Android. Hoạt động tương tự phân phối .EXE cho Windows và .DMG cho macOS, giống như các chiến dịch được Moonlock theo dõi trong AMOS/JandiInstaller. MỘTiOSPhiên bản TestFlight cũng được lưu hành, bỏ qua hoàn toàn việc đánh giá trên App Store – một chiến thuật trước đây gắn liền với các trò lừa đảo CryptoRom. Tổng cộng năm vectơ: phần cứng, Android, Windows, macOS, iOS.
Séc chính hãng không thể cứu bạn ở đây
Hướng dẫn chính thức của Ledger xác nhận rằng các thiết bị chính hãng mang bộ khóa mật mã bí mật trong quá trình sản xuất. Ví Ledger Kiểm tra Chính hãng sẽ xác minh khóa này mỗi khi thiết bị kết nối. Theo Tài liệu hỗ trợ sổ cái, chỉ có thiết bị chính hãng mới có thể vượt qua bước kiểm tra đó.
Vấn đề rất đơn giản. Một sự thỏa hiệp trong quá trình sản xuất khiến mọi hoạt động kiểm tra phần mềm trở nên vô ích. Phần sụn độc hại bắt chước đủ hành vi dự kiến để tiến hành các bước kiểm tra cơ bản. Nhà nghiên cứu đã xác nhận điều này trực tiếp trong phần phân tích.
Quá khứ các cuộc tấn công chuỗi cung ứng nhắm vào người dùng Ledgerđã nhiều lần chứng minh rằng chỉ xác minh mức độ đóng gói là không đủ. Các trường hợp được ghi lại trên BitcoinTalk ghi lại người dùng cá nhân mất hơn 200.000 USD cho ví phần cứng giả từ thị trường bên thứ ba.
Những thiết bị này đang được bán ở đâu
Thị trường của bên thứ ba là kênh phân phối chính. Nhà nghiên cứu lưu ý trong bài đăng Reddit trên r/ledgerwallet rằng những người bán bên thứ ba của Amazon, eBay, Mercado Livre, JD và AliExpress đều đã ghi lại lịch sử liệt kê các ví phần cứng bị xâm nhập.
Điểm giá cố tình nghi ngờ. Đó chính là mồi nhử. Một nguồn không chính thức không cung cấp Sổ cái giảm giá như một thỏa thuận—nó bán một sản phẩm bị xâm phạm để mang lại lợi ích cho kẻ tấn công.
Các kênh chính thức của Ledger là trang thương mại điện tử riêng tại Ledger.com và các cửa hàng Amazon đã được xác minh trên 18 quốc gia. Không nơi nào khác có bất kỳ sự đảm bảo nào về tính xác thực.
Nhà nghiên cứu sẽ làm gì tiếp theo
Nhóm đã chuẩn bị một báo cáo kỹ thuật toàn diện cho nhóm Donjon của Ledger và chương trình tiền thưởng lừa đảo của họ, đồng thời sẽ phát hành bản báo cáo đầy đủ sau khi Ledger hoàn thành phân tích nội bộ của mình.
Nhà nghiên cứu đã cung cấp IOC cho các chuyên gia bảo mật khác thông qua tin nhắn trực tiếp. Bất kỳ ai mua thiết bị từ một nguồn đáng ngờ đều có thể liên hệ để được hỗ trợ nhận dạng.
Những lá cờ đỏ quan trọng vẫn đơn giản. Cụm từ hạt giống được tạo trước đi kèm với thiết bị là một trò lừa đảo. Tài liệu yêu cầu người dùng nhập cụm từ hạt giống vào ứng dụng là lừa đảo. Phá hủy thiết bị ngay lập tức trong cả hai trường hợp.
Nguồn: Live Bitcoin News
Để lại một bình luận