Võltsitud Ledger Nano S+ tühjendab rahakotte 20 erinevas ahelas

Brasiilia päritolu turvauuringute tegija paljastas valeselt valmistatud Ledger Nano S+ tegevuse, mis kasutab kahjulikku tarkvara ja valesti koostatud rakendusi, et tühi tühjendada rahakotid 20 erinevas blokiahelas.

Brasiilia päritolu turvauuringute tegija paljastas ühe kõige keerukamatest valeselt valmistatud Ledger Nano S+ tegevustest, mida on kunagi dokumenteeritud. Väline seade, mille osteti Hiina turuplatsilt, sisaldas kohandatud kahjulikku tarkvara ja kloonitud rakendust. Rüündaja varastas kohe iga kasutaja sisestatud seed-fraasi.

Uurija ostis seadme kahtlustades hinnaebasid. Selle avamisel oli valeselt valmistatud iseloom kohe ilmne. Selle asemel, et seade lihtsalt kõrvale heita, järgnes täielik lahtivõtmine.

Mis peitub mikroskeemis

Autentne Ledger Nano S+ kasutab ST33 turvaeliimiit-mikroskeemi. Selles seadmes oli aga ESP32-S3. Mikroskeemi märgistused olid füüsiliselt lihvitud ära, et takistada identifitseerimist. Tarkvara esitles end „Ledger Nano S+ V2.1“-na – versioon, mida ei eksisteeri.

Uurijad leidsid mälusalvestuse tegemisel seed-fraasid ja PIN-koodid lihttekstina. Tarkvara saatis signaali juhtimis- ja kontrollserverile aadressil kkkhhhnnn[.]com. Iga sellele riistvaraseadmele sisestatud seed-fraas edastati kohe välja.

Seade toetab umbes 20 blokiahela rahakottide tühjendamist. See ei ole vähetähenduslik tegevus.

Viis rünnakuvektorit, mitte üks

Müüja pakkus seadmega kaasa muudetud „Ledger Live“ rakenduse. Arendajad olid rakenduse koostanud React Native’ga kasutades Hermes v96 ja allkirjastasid selle Androidi silumissertifikaadiga. Rüündajad ei teinud jõupingutusi saada õiguspärane allkiri.

Rakendus kasutab XState’i APDU-käskude sidumiseks. See kasutab varjatud XHR-päringuid andmete vaikseks väljatõmbamiseks. Uurijad tuvastasid kaks täiendavat juhtimis- ja kontrollserverit: s6s7smdxyzbsd7d7nsrx[.]icu ja ysknfr[.]cn.

See ei piirdu ainult Androidi platvormiga. Samasugune tegevus levitab Windowsile .EXE-faili ja macOS-ile .DMG-faili, meenutades Moonlock-i poolt AMOS/JandiInstaller nime all jälgitud kampaaniaid. Levib ka iOS-i TestFlight-versioon, mis vältib täielikult App Store’i läbivaatust – see taktika on seotud varem CryptoRom-pettuste jaoks kasutatuga. Kokku viis rünnakuvektorit: riistvara, Android, Windows, macOS ja iOS.

Autentsusekontroll ei aita siin

Ledgeri ametlikud juhised kinnitavad, et autentsed seadmed sisaldavad tootmisel lisatud saladuslikku krüptograafilist võtit. Ledger Walletis olev „Ledger Genuine Check“ kontrollib seda võtit igal korral, kui seade ühendub. Selle kohaselt, vastavalt Ledgeri toe dokumentatsioonile, saab selle kontrolli läbida ainult autentne seade.

Probleem on lihtne. Tootmisprotsessi ajal toimunud kompromiteerimine muudab iga tarkvaralise kontrolli kasutuks. Kahjulik tarkvara jäljendab piisavalt oodatud käitumist, et läbida lihtsad kontrollid. Uurija kinnitas seda otse lahtivõtmise käigus.

Varasemad Ledgeri kasutajaid sihitanud tarneahela rünnakud on korduvalt näidanud, et ainult pakenditaseme autentsuse kontroll ei ole piisav. Dokumenteeritud juhud BitcoinTalk’is kirjeldavad üksikuid kasutajaid, kes on kolmandate osapoolte turuplatsidelt ostetud valeselt valmistatud riistvaralisest rahakotist kaotanud üle $200 000.

Kus neid seadmeid müüakse

Kolmandate osapoolte turuplatsid on peamine levitustee. Amazoni kolmandate osapoolte müüjad, eBay, Mercado Livre, JD ja AliExpress on kõik dokumenteerinud kompromiteeritud riistvaraliste rahakottide loetlemist, märkis uurija Reddit’i postituses r/ledgerwallet.

Hind on tahtlikult kahtlane. See ongi ahv. Mitteametlik allikas ei paku soodustatud Ledgerit kui kokkulepet – see müüb kompromiteeritud toodet, et rüündaja saaks kasu.

Ledgeri ametlikud kanalid on selle enda e-kauplus Ledger.com ja 18 riigis kinnitatud Amazoni poed. Üheski teises kohas ei anta mingit autentsuse garantii.

Mida uurija järgmiseks teeb

Meeskond valmistas Ledgeri Donjon-tiimi ja selle phishingu auhindade programmile ülevaatliku tehnilise aruande ning avaldab täieliku ülevaate pärast seda, kui Ledger on oma sisemise analüüsi lõpetanud.

Uurija on teinud IOCi (indikaatorid kahjuliku tegevuse kohta) teistele turvaspetsialistidele kättesaadavaks otseste sõnumite kaudu. Igal, kes on ostnud seadme kahtlase allika kaudu, on võimalus pöörduda identifitseerimistoega abi saamiseks.

Peamised punased lipukesed jäävad lihtsaks. Seadmega kaasas olev eelnevalt genereeritud seed-fraas on pettus. Dokumentatsioon, mis palub kasutajal sisestada seed-fraas rakendusse, on pettus. Mõlemal juhul tuleb seade kohe hävitada.

The post Counterfeit Ledger Nano S+ Drains Wallets Across 20 Chains appeared first on Live Bitcoin News.