Un chercheur en cybersécurité découvre un faux Ledger vendu sur le marché chinois
Un chercheur brésilien en sécurité a mis en garde les autres contre la dernière arnaque contrefaite des appareils Ledger visant à voler la cryptographie des utilisateurs.
Publiant jeudi sous le nom « Past_Computer2901 » sur la chaîne Reddit « Ledgerwallet », le chercheur en sécurité a déclaré avoir acheté ce qu'il pensait être un appareil Ledger légitime pour un usage personnel, mais s'est vite rendu compte après son arrivée qu'il s'agissait d'une contrefaçon sophistiquée visant à voler les fonds des utilisateurs.
"Ce n'est pas destiné à semer la panique, mais plutôt à servir d'avertissement sérieux. Honnêtement, je suis encore un peu secoué par l'ampleur de cette opération", ont-ils déclaré.
Les fraudeurs adoptent des stratégies de plus en plus sophistiquées pour cibler les utilisateurs optant pour l’auto-garde, depuis les attaques de la chaîne d’approvisionnement jusqu’aux escroqueries d’ingénierie sociale et d’approbation.
Plus tôt ce mois-ci, plus de 50 victimes ont été amenées à révéler leurs phrases de départ sur une fausse application Ledger Live qui a fait son chemin vers l'App Store d'Apple via une stratégie d'appât et de changement. Les victimes ont perdu au total 9,5 millions de dollars avant qu’Apple ne supprime l’application malveillante.
Comment fonctionne l’arnaque aux appareils contrefaits du Ledger
Le chercheur a déclaré avoir acheté le Ledger Nano S Plus sur un marché chinois, dont le prix était le même que celui du magasin officiel Ledger. L'emballage et le listing semblaient également légitimes au début.
Cependant, lorsqu’ils ont connecté l’appareil à la véritable application Ledger Live – qui était heureusement déjà installée sur leur ordinateur – la « vérification authentique » intégrée de Ledger a échoué.
Cela les a incités à démonter l'appareil et à découvrir du matériel et un micrologiciel modifiés conçus pour capturer et exposer les données sensibles du portefeuille.
Le chercheur en sécurité a déclaré que les escrocs ciblent les nouveaux utilisateurs de Ledger, car le code QR fourni dans la boîte inciterait normalement les utilisateurs à télécharger une version malveillante de l'application Ledger Live qui afficherait un faux « véritable chèque ».
Les utilisateurs qui continuent à suivre les invites permettront éventuellement aux fraudeurs d’obtenir les phrases de départ d’un utilisateur et de drainer des fonds à tout moment.
Photo de l'appareil Ledger contrefait en cours de démontage. Source : Reddit
"Restez en sécurité. Téléchargez uniquement Ledger Live depuis ledger.com. Achetez uniquement du matériel sur ledger.com", a déclaré le chercheur en sécurité.
"Si votre appareil échoue au test d'authenticité, arrêtez de l'utiliser immédiatement."
Après avoir démonté l'appareil, ils ont découvert des signes évidents de falsification, notamment des marques de puce grattées et une antenne WiFi et Bluetooth intégrée à l'intérieur de l'appareil.
Les produits matériels légitimes Ledger sont conçus pour conserver les clés privées entièrement hors ligne.
En relation: Un musicien perd 420 000 $ de « fonds de retraite » Bitcoin via une fausse application Ledger
Le chercheur en sécurité a ensuite examiné le micrologiciel, mettant la « puce en mode de démarrage », qui a initialement identifié l'appareil comme étant un Nano S Plus 7704 avec un numéro de série associé.
Cependant, une fois la séquence de démarrage terminée, le nom d’un autre fabricant est apparu : Espressif Systems, une société chinoise de semi-conducteurs cotée en bourse et basée à Shanghai.
Cointelegraph a contacté Espressif pour obtenir des commentaires, mais n'a pas reçu de réponse immédiate.
Magazine : Qu’est-ce qu’un « État du réseau » et existe-t-il des exemples concrets ? Grandes questions