Cryptonews

Gefälschte Ledger-Wallet mit verstecktem Chip, der Seed-Phrasen und PINs stiehlt

Quelle
cryptonewstrend.com
Veröffentlicht
Gefälschte Ledger-Wallet mit verstecktem Chip, der Seed-Phrasen und PINs stiehlt

Ein Cybersicherheitsforscher aus Brasilien deckte eine groß angelegte Betrugsoperation auf, nachdem er auf einem chinesischen Marktplatz ein „Ledger“-Hardware-Wallet gekauft hatte, das legitim aussah und den gleichen Preis wie der offizielle Store hatte. Die Verpackung sah aus der Ferne original aus, das Gerät war jedoch eine Fälschung.

Als der Forscher es mit Ledger Live verband, das von ledger.com installiert wurde, scheiterte die Echtheitsprüfung und bestätigte, dass es sich nicht um ein echtes Ledger-Gerät handelte. Dieser Fehler veranlasste den Forscher, das Gerät zu öffnen und seine interne Hardware und Firmware zu untersuchen.

Geklonte Websites und schädliche Apps

Im Inneren der Hülle fand der Forscher einen völlig anderen Chip, nicht den Typ, der in einer Hardware-Wallet verwendet wird. Die Chipmarkierungen waren physisch abgekratzt worden, um die Identifizierung zu verbergen. Laut dem Reddit-Beitrag des Forschers enthielt das Gerät auch eine WLAN- und Bluetooth-Antenne, die in einem echten Ledger Nano S+ nicht vorhanden ist. Durch die Analyse des Chip-Layouts identifizierten sie es als ESP32-S3 mit internem Flash-Speicher.

Als das Gerät startete, tarnte es sich zunächst als Ledger Nano S+ 7704 mit Seriennummern und Ledger-Werksidentität, enthüllte aber später seinen wahren Hersteller als Espressif Systems.

Nach dem Dumping der Firmware und dem Reverse Engineering stellte der Forscher fest, dass die auf dem Gerät erstellte PIN im Klartext gespeichert war. Auch die Seed-Phrasen der auf dem Gerät generierten Wallets wurden im Klartext gespeichert. Die Firmware enthielt außerdem mehrere fest codierte Domänenverweise, die auf externe Befehls- und Kontrollserver verwiesen. Diese Ergebnisse zeigten, dass das Gerät zum Sammeln sensibler Wallet-Daten mit Links zu externen Servern konzipiert war.

Der Forscher untersuchte auch, wie der Angriff in der Praxis funktionieren könnte. Obwohl die Hardware eine WLAN- und Bluetooth-Antenne enthielt, zeigte die Firmware keine Hinweise auf drahtlose Datenübertragung oder WLAN-Access-Point-Verbindungen. Es enthielt auch keine fehlerhaften USB-Skripte für die Eingabe von Tastenanschlägen oder Terminalbefehlen. Stattdessen schien der Angriff auf Benutzerinteraktionen außerhalb des Geräts selbst zu beruhen.

Den Angaben zufolge beginnt der Betrug, wenn ein Benutzer einen in der Verpackung enthaltenen QR-Code scannt. Dieser QR-Code führt zu einer geklonten Website, die wie ledger.com aussieht. Von dort aus werden Benutzer aufgefordert, eine gefälschte „Ledger Live“-Anwendung für Android, iOS, Windows oder Mac herunterzuladen. Die gefälschte App zeigt einen gefälschten Original-Scheckbildschirm an, der immer erfolgreich ist. Anschließend erstellen die Benutzer Wallets und notieren Startphrasen in der Überzeugung, dass die Einrichtung sicher ist. Unterdessen schleust die gefälschte App Seed-Phrasen auf von Angreifern kontrollierte Server.

Das könnte Ihnen auch gefallen:

Analyst verteidigt Circles No-Freeze-Haltung bei Drift-Hack-Fonds in Höhe von 280 Millionen US-Dollar

Das US-Finanzministerium weitet die Bankbedrohung von Intel auf den Kryptosektor aus

Aethir entkommt großer Krise, nachdem Bridge-Hack eingedämmt wurde: Verluste bleiben unter 90.000 US-Dollar

Der Forscher dekompilierte die Android-APK-Version der gefälschten Ledger Live-App und fand weiteres bösartiges Verhalten. Die App wurde mit React Native und der Hermes-Engine erstellt. Es wurde mit einem Android-Debug-Zertifikat statt mit einem richtigen Signaturschlüssel signiert. Es fing APDU-Befehle zwischen der App und dem Gerät ab, stellte Stealth-Anfragen an externe Server und lief nach dem Schließen mehrere Minuten lang im Hintergrund weiter.

Außerdem wurden Standortberechtigungen angefordert und der Kontostand der Wallets mithilfe öffentlicher Schlüssel überwacht, was es Angreifern ermöglichte, Einzahlungen und Beträge zu verfolgen.

Kein Fehler in der Ledger-Sicherheit

Der Forscher erklärte, dass es sich hierbei nicht um eine Zero-Day-Schwachstelle und keinen Fehler im Sicherheitsdesign von Ledger handele. Es wurde bestätigt, dass der echte Scheck und das sichere Element von Ledger korrekt funktionieren. Stattdessen wird dies als ein Phishing-Vorgang beschrieben, bei dem gefälschte Hardware, bösartige Apps und externe Infrastruktur kombiniert werden. Der vollständige Betrieb umfasst Hardwaregeräte mit ESP32-S3-Chips, trojanisierte Apps für Android und andere Plattformen sowie Befehls- und Kontrollserver, die zur Datenexfiltration verwendet werden.

Der Forscher fügte außerdem hinzu, dass bereits über gefälschte Ledger-Geräte berichtet wurde, dieser Fall jedoch anders sei, da er das gesamte System abbilde, einschließlich Hardware, Apps, Infrastruktur und Vertrieb über eine Briefkastenfirma, die mit Marktplatzeinträgen verknüpft sei. Der Forscher hat dem Customer Success-Team von Ledger einen Bericht vorgelegt und bereitet eine vollständige technische Aufschlüsselung mit weiterer Analyse der Windows-, macOS- und iOS-Versionen der Malware vor.

Vor ein paar Jahren berichtete ein anderer Reddit-Benutzer, dass er ein Ledger Nano In dem Schreiben wurde behauptet, es handele sich um einen Ersatz nach einem Datenverstoß.

Ein Sicherheitsexperte stellte später fest, dass am USB-Anschluss des Geräts ein Flash-Laufwerk angeschlossen war, das für die Verbreitung von Schadsoftware und möglichen Diebstahl gedacht war.