Cryptonews

Monedero contable falso expuesto con chips ocultos que roban frases iniciales y PIN

Fuente
cryptonewstrend.com
Publicado
Monedero contable falso expuesto con chips ocultos que roban frases iniciales y PIN

Un investigador de ciberseguridad de Brasil expuso una operación de estafa a gran escala después de comprar una billetera de hardware "Ledger" en un listado del mercado chino que parecía legítima y tenía el mismo precio que la tienda oficial. Desde lejos el embalaje parecía original, pero el aparato era falso.

Cuando el investigador lo conectó a Ledger Live instalado desde ledger.com, no pasó la verificación genuina, confirmando que no era un dispositivo Ledger real. Este fallo llevó al investigador a abrir el dispositivo y examinar su hardware y firmware internos.

Sitios web clonados y aplicaciones maliciosas

Dentro del caparazón, el investigador encontró un chip completamente diferente, no del tipo utilizado en una billetera de hardware. Las marcas del chip habían sido raspadas físicamente para ocultar la identificación. Según la publicación de Reddit del investigador, el dispositivo también contenía una antena WiFi y Bluetooth, que no está presente en un Ledger Nano S+ real. Al analizar el diseño del chip, lo identificaron como un ESP32-S3 con memoria flash interna.

Cuando el dispositivo arrancó, inicialmente se hizo pasar por un Ledger Nano S+ 7704 con números de serie e identidad de fábrica de Ledger, pero luego reveló que su verdadero fabricante era Espressif Systems.

Después de desechar el firmware y aplicarle ingeniería inversa, el investigador descubrió que el PIN creado en el dispositivo estaba almacenado en texto sin formato. Las frases iniciales de las billeteras generadas en el dispositivo también se almacenaron en texto sin formato. El firmware también contenía múltiples referencias de dominio codificadas que apuntaban a servidores externos de comando y control. Estos hallazgos revelaron que el dispositivo fue diseñado para recopilar datos confidenciales de la billetera, con enlaces a servidores externos.

El investigador también examinó cómo podría funcionar el ataque en la práctica. Aunque el hardware contenía una antena WiFi y Bluetooth, el firmware no mostraba evidencia de transmisión de datos inalámbrica o conexiones de puntos de acceso WiFi. Tampoco contenía scripts USB incorrectos para la inyección de pulsaciones de teclas o comandos de terminal. En cambio, el ataque pareció depender de la interacción del usuario fuera del propio dispositivo.

Según ellos, la estafa comienza cuando un usuario escanea un código QR incluido en el paquete. Este código QR conduce a un sitio web clonado que se parece a ledger.com. Desde allí, se solicita a los usuarios que descarguen una aplicación falsa “Ledger Live” para Android, iOS, Windows o Mac. La aplicación falsa muestra una pantalla de cheque genuino falso que siempre pasa. Luego, los usuarios crean billeteras y escriben frases iniciales, creyendo que la configuración es segura. Mientras tanto, la aplicación falsa filtra frases iniciales a servidores controlados por el atacante.

También te puede interesar:

Analista defiende la postura de Circle de no congelar fondos de Drift Hack de 280 millones de dólares

El Tesoro de EE. UU. extiende la amenaza de nivel bancario Intel al sector criptográfico

Aethir esquiva una gran crisis después de contener el ataque al puente: las pérdidas se mantienen por debajo de los 90.000 dólares

El investigador descompiló la versión APK de Android de la aplicación falsa Ledger Live y encontró comportamiento malicioso adicional. La aplicación fue construida con React Native y el motor Hermes. Se firmó con un certificado de depuración de Android en lugar de una clave de firma adecuada. Interceptó comandos APDU entre la aplicación y el dispositivo, realizó solicitudes sigilosas a servidores externos y continuó ejecutándose en segundo plano durante varios minutos después de cerrarse.

También solicitó permisos de ubicación y monitoreó los saldos de las billeteras utilizando claves públicas, lo que permitió a los atacantes rastrear depósitos y montos.

No es un defecto en la seguridad del libro mayor

El investigador afirmó que esta no es una vulnerabilidad de día cero ni una falla en el diseño de seguridad de Ledger. Se confirmó que Genuine Check y Secure Element de Ledger funcionan correctamente. Más bien, esto se describe como una operación de phishing que combina hardware falsificado, aplicaciones maliciosas e infraestructura externa. La operación completa incluye dispositivos de hardware con chips ESP32-S3, aplicaciones troyanizadas para Android y otras plataformas, y servidores de comando y control utilizados para la filtración de datos.

El investigador también agregó que ya se han reportado dispositivos Ledger falsos antes, pero este caso es diferente porque mapea el sistema completo, incluido el hardware, las aplicaciones, la infraestructura y la distribución a través de una empresa fantasma vinculada a listados del mercado. El investigador envió un informe al equipo de éxito del cliente de Ledger y está preparando un desglose técnico completo con un análisis más detallado de las versiones del malware para Windows, macOS e iOS.

Hace unos años, otro usuario de Reddit informó haber recibido un Ledger Nano X en un paquete de aspecto auténtico, pero una carta en su interior generó preocupaciones debido a errores ortográficos y gramaticales. La carta afirmaba que era un reemplazo después de una violación de datos.

Más tarde, un experto en seguridad descubrió que el dispositivo tenía una unidad flash conectada al conector USB, que estaba destinada a la entrega de malware y posibles robos.