محفظة دفتر الأستاذ المزيفة مكشوفة مع عبارات وأرقام التعريف الشخصية المخفية لسرقة الرقاقة
كشف باحث في مجال الأمن السيبراني من البرازيل عن عملية احتيال واسعة النطاق بعد شراء محفظة أجهزة "Ledger" من قائمة السوق الصينية التي بدت شرعية وكان سعرها نفس سعر المتجر الرسمي. وبدت العبوة أصلية من بعيد، لكن الجهاز كان مزيفًا.
عندما قام الباحث بتوصيله بـ Ledger Live المثبت من موقع Ledger.com، فشل في التحقق الأصلي، مما يؤكد أنه ليس جهاز Ledger حقيقي. أدى هذا الفشل إلى قيام الباحث بفتح الجهاز وفحص أجهزته الداخلية والبرامج الثابتة.
المواقع المستنسخة والتطبيقات الضارة
وداخل الغلاف، وجد الباحث شريحة مختلفة تمامًا، وليست من النوع المستخدم في محفظة الأجهزة. تم كشط علامات الرقاقة فعليًا لإخفاء الهوية. وفقًا لمنشور Reddit للباحث، يحتوي الجهاز أيضًا على هوائي WiFi وBluetooth، وهو غير موجود في Ledger Nano S+ الحقيقي. ومن خلال تحليل تخطيط الشريحة، حددوا أنها ESP32-S3 مع ذاكرة فلاش داخلية.
عندما تم تشغيل الجهاز، قام في البداية بإخفاء نفسه على أنه Ledger Nano S+ 7704 مع الأرقام التسلسلية وهوية مصنع Ledger، لكنه كشف لاحقًا عن الشركة المصنعة الحقيقية له باسم Espressif Systems.
بعد التخلص من البرنامج الثابت وإجراء هندسته العكسية، وجد الباحث أن رقم التعريف الشخصي الذي تم إنشاؤه على الجهاز تم تخزينه في نص عادي. تم أيضًا تخزين العبارات الأولية من المحافظ التي تم إنشاؤها على الجهاز في نص عادي. تحتوي البرامج الثابتة أيضًا على العديد من مراجع النطاقات المشفرة التي تشير إلى خوادم القيادة والتحكم الخارجية. وكشفت هذه النتائج أن الجهاز مصمم لجمع بيانات المحفظة الحساسة، مع روابط لخوادم خارجية.
وفحص الباحث أيضًا كيفية تنفيذ الهجوم عمليًا. على الرغم من أن الجهاز يحتوي على هوائي WiFi وBluetooth، إلا أن البرنامج الثابت لم يُظهر دليلاً على نقل البيانات لاسلكيًا أو اتصالات نقطة وصول WiFi. كما أنه لا يحتوي على نصوص USB سيئة لإدخال ضغطات المفاتيح أو الأوامر الطرفية. وبدلاً من ذلك، يبدو أن الهجوم يعتمد على تفاعل المستخدم خارج الجهاز نفسه.
ووفقا لهم، تبدأ عملية الاحتيال عندما يقوم المستخدم بمسح رمز الاستجابة السريعة الموجود في العبوة. يؤدي رمز الاستجابة السريعة هذا إلى موقع ويب مستنسخ يشبه ledger.com. ومن هناك، يُطلب من المستخدمين تنزيل تطبيق "Ledger Live" مزيف لأنظمة Android، أو iOS، أو Windows، أو Mac. يعرض التطبيق المزيف شاشة فحص أصلي مزيفة تمر دائمًا. يقوم المستخدمون بعد ذلك بإنشاء محافظ وكتابة العبارات الأولية، معتقدين أن الإعداد آمن. وفي الوقت نفسه، يقوم التطبيق المزيف بتسريب العبارات الأولية إلى الخوادم التي يتحكم فيها المهاجم.
قد يعجبك أيضًا:
محلل يدافع عن موقف عدم التجميد الذي اتخذته شركة Circle بشأن صناديق Drift Hack التي تبلغ قيمتها 280 مليون دولار
وزارة الخزانة الأمريكية توسع نطاق إنتل للتهديدات على مستوى البنوك لتشمل قطاع العملات المشفرة
"أثير" يتجنب أزمة كبيرة بعد احتواء "اختراق الجسر": الخسائر تظل أقل من 90 ألف دولار
قام الباحث بتفكيك نسخة Android APK من تطبيق Ledger Live المزيف ووجد سلوكًا ضارًا إضافيًا. تم إنشاء التطبيق باستخدام React Native ومحرك Hermes. تم توقيعه باستخدام شهادة تصحيح Android بدلاً من مفتاح التوقيع المناسب. لقد اعترض أوامر APDU بين التطبيق والجهاز، وقدم طلبات خفية إلى خوادم خارجية، واستمر في العمل في الخلفية لعدة دقائق بعد إغلاقه.
كما طلبت أيضًا أذونات الموقع ومراقبة أرصدة المحفظة باستخدام المفاتيح العامة، مما سمح للمهاجمين بتتبع الودائع والمبالغ.
ليس عيبًا في أمان دفتر الأستاذ
وذكر الباحث أن هذه ليست ثغرة يوم الصفر وليست عيبًا في التصميم الأمني ليدجر. تم التأكد من أن عنصر التحقق والعنصر الآمن الخاص بـ Ledger يعمل بشكل صحيح. وبدلاً من ذلك، يتم وصف ذلك على أنه عملية تصيد احتيالي تجمع بين الأجهزة المزيفة والتطبيقات الضارة والبنية التحتية الخارجية. تتضمن العملية الكاملة أجهزة مزودة بشرائح ESP32-S3، وتطبيقات طروادة لنظام التشغيل Android والأنظمة الأساسية الأخرى، وخوادم الأوامر والتحكم المستخدمة لاستخراج البيانات.
وأضاف الباحث أيضًا أنه تم الإبلاغ عن أجهزة Ledger مزيفة من قبل، لكن هذه الحالة مختلفة لأنها تحدد النظام بالكامل، بما في ذلك الأجهزة والتطبيقات والبنية التحتية والتوزيع من خلال شركة وهمية مرتبطة بقوائم السوق. قدم الباحث تقريرًا إلى فريق نجاح العملاء في Ledger ويقوم بإعداد تفاصيل فنية كاملة مع مزيد من التحليل لإصدارات Windows وmacOS وiOS من البرامج الضارة.
قبل بضع سنوات، أبلغ مستخدم آخر على Reddit عن تلقيه Ledger Nano X في حزمة ذات مظهر أصلي، لكن رسالة بداخلها أثارت مخاوف بسبب الأخطاء الإملائية والنحوية. زعمت الرسالة أنها كانت بديلاً بعد خرق البيانات.
اكتشف خبير أمني لاحقًا أن الجهاز يحتوي على محرك أقراص محمول متصل بموصل USB، والذي كان مخصصًا لتوصيل البرامج الضارة والسرقة المحتملة.