Namaak Ledger Nano S+ Put Portemonnees Leeg Over 20 Chains

Een in Brazilië gevestigde beveiligingsonderzoeker onthult een namaak Ledger Nano S+-operatie die kwaadaardige firmware en nepapps gebruikt om wallets over 20 blockchains leeg te halen.

Een in Brazilië gevestigde beveiligingsonderzoeker heeft een van de meest geavanceerde namaak Ledger Nano S+-operaties ooit gedocumenteerd blootgelegd. Het nepapparaat, afkomstig van een Chinese marktplaats, bevatte aangepaste kwaadaardige firmware en een gekloonde app. De aanvaller stal onmiddellijk elke seed phrase die gebruikers invoerden.

De onderzoeker kocht het apparaat vanwege vermoedelijke prijsonregelmatigheden. Bij het openen was de namaak aard duidelijk. In plaats van het weg te gooien, volgde een volledige demontage.

Wat er in de chip verborgen was

De echte Ledger Nano S+ gebruikt een ST33 Secure Element-chip. Dit apparaat had in plaats daarvan een ESP32-S3. De chipmarkeringen waren fysiek weggeslepen om identificatie te blokkeren. De firmware identificeerde zichzelf als "Ledger Nano S+ V2.1" — een versie die niet bestaat.

Onderzoekers vonden seeds en pincodes opgeslagen in platte tekst na het uitvoeren van een geheugendump. De firmware zond signalen naar een command-and-control-server op kkkhhhnnn[.]com. Elke seed phrase die in deze hardware werd ingevoerd, werd onmiddellijk gestolen.

Het apparaat ondersteunt ongeveer 20 blockchains voor het leegmaken van wallets. Dit is geen kleine operatie.

Vijf aanvalsvectoren, niet één

De verkoper leverde een aangepaste "Ledger Live"-app mee met het apparaat. De ontwikkelaars bouwden de app met React Native gebruikmakend van Hermes v96 en ondertekenden deze met een Android Debug-certificaat. De aanvallers hebben niet de moeite genomen om een legitieme handtekening te verkrijgen.

De app haakt in op XState om APDU-commando's te onderscheppen. Het gebruikt heimelijke XHR-verzoeken om gegevens stil te extraheren. Onderzoekers identificeerden twee extra command-and-control-servers: s6s7smdxyzbsd7d7nsrx[.]icu en ysknfr[.]cn.

Dit is niet beperkt tot Android. Dezelfde operatie distribueert een .EXE voor Windows en een .DMG voor macOS, vergelijkbaar met campagnes die door Moonlock worden gevolgd onder AMOS/JandiInstaller. Een iOS-TestFlight-versie circuleert ook, waarbij de App Store-beoordeling volledig wordt omzeild — een tactiek die eerder was gekoppeld aan CryptoRom-oplichting. Vijf vectoren in totaal: hardware, Android, Windows, macOS, iOS.

De echtheidscontrole kan je hier niet redden

Ledger's officiële richtlijnen bevestigen dat echte apparaten een geheime cryptografische sleutel bevatten die tijdens de productie is ingesteld. De Ledger Genuine Check in Ledger Wallet verifieert deze sleutel elke keer dat een apparaat verbinding maakt. Volgens Ledger's ondersteuningsdocumentatie kan alleen een echt apparaat die controle doorstaan.

Het probleem is eenvoudig. Een compromis tijdens de productie maakt elke softwarecontrole nutteloos. De kwaadaardige firmware imiteert genoeg van het verwachte gedrag om basis controles te passeren. De onderzoeker bevestigde dit rechtstreeks in de demontage.

Eerdere supply chain-aanvallen gericht op Ledger-gebruikers hebben herhaaldelijk aangetoond dat verificatie op verpakkingsniveau alleen onvoldoende is. Gedocumenteerde gevallen op BitcoinTalk registreren individuele gebruikers die meer dan $200.000 verloren aan nep hardware wallets van externe marktplaatsen.

Waar deze apparaten worden verkocht

Externe marktplaatsen zijn het primaire distributiekanaal. Amazon-externe verkopers, eBay, Mercado Livre, JD en AliExpress hebben allemaal gedocumenteerde geschiedenissen van het aanbieden van gecompromitteerde hardware wallets, merkte de onderzoeker op in het Reddit-bericht op r/ledgerwallet.

Het prijspunt is opzettelijk verdacht. Dat is het lokmiddel. Een niet-officiële bron biedt geen kortingsprijs Ledger als een deal aan—het verkoopt een gecompromitteerd product ten behoeve van de aanvaller.

Ledger's officiële kanalen zijn de eigen e-commerce site op Ledger.com en geverifieerde Amazon-winkels in 18 landen. Nergens anders is er garantie op authenticiteit.

Wat de onderzoeker vervolgens doet

Het team heeft een uitgebreid technisch rapport voorbereid voor Ledger's Donjon-team en zijn phishing bounty-programma, en zal het volledige verslag vrijgeven nadat Ledger zijn interne analyse heeft voltooid.

De onderzoeker heeft IOC's beschikbaar gesteld aan andere beveiligingsprofessionals via directe berichten. Iedereen die een apparaat heeft gekocht van een twijfelachtige bron kan contact opnemen voor identificatiehulp.

De belangrijkste rode vlaggen blijven eenvoudig. Een vooraf gegenereerde seed phrase die bij het apparaat wordt geleverd, is oplichting. Documentatie waarin gebruikers wordt gevraagd een seed phrase in een app te typen, is oplichting. Vernietig het apparaat onmiddellijk in beide gevallen.

The post Counterfeit Ledger Nano S+ Drains Wallets Across 20 Chains appeared first on Live Bitcoin News.