Un faux portefeuille de grand livre exposé avec des phrases et des codes PIN cachés volant des graines

Un chercheur brésilien en cybersécurité a révélé une opération d’escroquerie à grande échelle après avoir acheté un portefeuille matériel « Ledger » sur une liste de marchés chinois qui semblait légitime et dont le prix était le même que celui de la boutique officielle. De loin, l'emballage semblait original, mais l'appareil était contrefait.

Lorsque le chercheur l'a connecté à Ledger Live installé à partir de ledger.com, il a échoué à la vérification authentique, confirmant qu'il ne s'agissait pas d'un véritable appareil Ledger. Cet échec a conduit le chercheur à ouvrir l’appareil et à examiner son matériel interne et son micrologiciel.

Sites Web clonés et applications malveillantes

À l’intérieur de la coque, le chercheur a trouvé une puce complètement différente, qui n’est pas du type utilisé dans un portefeuille matériel. Les marques de la puce avaient été physiquement grattées pour masquer l'identification. Selon le post Reddit du chercheur, l’appareil contenait également une antenne WiFi et Bluetooth, qui n’est pas présente dans un vrai Ledger Nano S+. En analysant la disposition de la puce, ils l'ont identifié comme un ESP32-S3 avec mémoire flash interne.

Lorsque l'appareil a démarré, il s'est d'abord masqué comme un Ledger Nano S+ 7704 avec des numéros de série et l'identité d'usine du Ledger, mais a ensuite révélé que son véritable fabricant était Espressif Systems.

Après avoir vidé le micrologiciel et effectué une ingénierie inverse, le chercheur a découvert que le code PIN créé sur l'appareil était stocké en texte brut. Les phrases de départ des portefeuilles générés sur l'appareil ont également été stockées en texte brut. Le micrologiciel contenait également plusieurs références de domaine codées en dur pointant vers des serveurs de commande et de contrôle externes. Ces résultats ont révélé que l'appareil a été conçu pour collecter des données sensibles de portefeuille, avec des liens vers des serveurs externes.

Le chercheur a également examiné comment l’attaque pourrait fonctionner dans la pratique. Bien que le matériel contienne une antenne WiFi et Bluetooth, le micrologiciel ne montrait aucune preuve de transmission de données sans fil ou de connexions au point d'accès WiFi. Il ne contenait pas non plus de mauvais scripts USB pour l'injection de touches ou les commandes de terminal. Au lieu de cela, l’attaque semblait reposer sur l’interaction de l’utilisateur en dehors de l’appareil lui-même.

Selon eux, l’arnaque commence lorsqu’un utilisateur scanne un code QR inclus dans l’emballage. Ce code QR mène à un site Web cloné qui ressemble à ledger.com. À partir de là, les utilisateurs sont invités à télécharger une fausse application « Ledger Live » pour Android, iOS, Windows ou Mac. La fausse application affiche un écran de vérification authentique contrefait qui réussit toujours. Les utilisateurs créent ensuite des portefeuilles et écrivent des phrases de départ, estimant que la configuration est sécurisée. Pendant ce temps, la fausse application exfiltre les phrases de départ vers des serveurs contrôlés par des attaquants.

Vous aimerez peut-être aussi :

Un analyste défend la position non-gelée de Circle sur les fonds Drift Hack de 280 millions de dollars

Le Trésor américain étend la menace bancaire Intel au secteur de la cryptographie

Aethir évite une crise majeure après avoir contenu le piratage d'un pont : les pertes restent inférieures à 90 000 $

Le chercheur a décompilé la version Android APK de la fausse application Ledger Live et a découvert un comportement malveillant supplémentaire. L'application a été construite avec React Native et le moteur Hermes. Il a été signé avec un certificat de débogage Android au lieu d'une clé de signature appropriée. Il a intercepté les commandes APDU entre l'application et l'appareil, a effectué des requêtes furtives vers des serveurs externes et a continué à fonctionner en arrière-plan pendant plusieurs minutes après sa fermeture.

Il a également demandé des autorisations de localisation et surveillé les soldes des portefeuilles à l'aide de clés publiques, ce qui a permis aux attaquants de suivre les dépôts et les montants.

Ce n'est pas un défaut dans la sécurité du grand livre

Le chercheur a déclaré qu’il ne s’agit pas d’une vulnérabilité zero-day ni d’une faille dans la conception de sécurité de Ledger. Il a été confirmé que le contrôle authentique et l’élément sécurisé de Ledger fonctionnent correctement. Il s’agit plutôt d’une opération de phishing combinant du matériel contrefait, des applications malveillantes et une infrastructure externe. L'opération complète comprend des périphériques matériels dotés de puces ESP32-S3, des applications trojanisées pour Android et d'autres plates-formes, ainsi que des serveurs de commande et de contrôle utilisés pour l'exfiltration de données.

Le chercheur a également ajouté que de faux appareils Ledger avaient déjà été signalés, mais ce cas est différent car il cartographie l'ensemble du système, y compris le matériel, les applications, l'infrastructure et la distribution via une société écran liée aux listes de marchés. Le chercheur a soumis un rapport à l’équipe Customer Success de Ledger et prépare une analyse technique complète avec une analyse plus approfondie des versions Windows, macOS et iOS du malware.

Il y a quelques années, un autre utilisateur de Reddit a déclaré avoir reçu un Ledger Nano X dans un emballage d'apparence authentique, mais une lettre à l'intérieur a soulevé des inquiétudes en raison d'erreurs d'orthographe et de grammaire. La lettre affirmait qu'il s'agissait d'un remplacement après une violation de données.

Un expert en sécurité a découvert plus tard que l'appareil était équipé d'une clé USB connectée au connecteur USB, destinée à la diffusion de logiciels malveillants et à un vol potentiel.