Cryptonews

Раскрыто изощренное мошенничество: поддельное оборудование проникает на мировые рынки и выкачивает цифровые активы.

Источник
cryptonewstrend.com
Опубликовано
Раскрыто изощренное мошенничество: поддельное оборудование проникает на мировые рынки и выкачивает цифровые активы.

Аппаратные кошельки Counterfeit Ledger находятся в центре растущей угрозы, нацеленной на пользователей криптовалюты по всему миру. Исследователь безопасности задокументировал крупномасштабную операцию по распространению поддельных устройств Ledger Nano S Plus через несколько онлайн-торговых площадок. Скомпрометированные устройства выглядят идентично законным продуктам, но имеют совершенно другое внутреннее оборудование. Сиды, PIN-коды и данные кошелька отправляются непосредственно на серверы, контролируемые злоумышленниками, опустошая любой кошелек, инициализированный на устройстве. В поддельных устройствах чип защищенного элемента Ledger заменяется микроконтроллером ESP32. Этот замещающий чип использует модифицированную прошивку с маркировкой «Nano S+ V2 1». В отличие от настоящего защищенного элемента, это оборудование хранит конфиденциальные данные в виде обычного текста. Затем эти данные передаются на удаленные серверы, контролируемые злоумышленниками, стоящими за операцией. Помимо оборудования, кампания также распространяет мошенническую версию Ledger Live. Это поддельное приложение создано с помощью React Native и подписано с использованием сертификата отладки. Он перехватывает транзакции и отправляет конфиденциальные пользовательские данные на несколько серверов управления и контроля. У пользователей, загружающих эту версию, нет видимых признаков того, что что-то не так. Атака охватывает пять отдельных векторов: взломанное оборудование, APK-файлы Android, исполняемые файлы Windows, установщики macOS и приложения iOS. Исследователь безопасности только что задокументировал крупномасштабную операцию по продаже скомпрометированных устройств на нескольких онлайн-рынках поддельного Ledger Nano S Plus. Поддельные устройства выглядят идентично реальным, но содержат совершенно другое оборудование. Вместо безопасности Ledger… pic.twitter.com/6ZfP9pJkUU — TFTC (@TFTC21) 16 апреля 2026 г. В дистрибутиве iOS используется платформа Apple TestFlight для обхода стандартного процесса проверки в App Store. Такой подход позволяет мошенническому программному обеспечению добраться до пользователей без проведения типичных проверок безопасности. Каждый канал служит независимой точкой входа для одного и того же мошенничества. Встроенная функция проверки подлинности Ledger предназначена для проверки подлинности устройства. Однако этот процесс проверки можно обойти, если аппаратное обеспечение подвергается вмешательству в источнике. Это делает момент покупки критически важным параметром безопасности. Покупка у неавторизованных продавцов удаляет единственный надежный уровень проверки на аппаратном уровне. Кроме того, сетевой следователь ZachXBT задокументировал еще одно поддельное приложение Ledger Live, которое прошло проверку Apple Mac App Store. Одна только эта операция лишила более 50 жертв более 9,5 миллионов долларов. Среди пострадавших оказался музыкант Дж. Лав, потерявший 5,92 BTC после ввода фразы восстановления в мошенническое приложение. Приложение представило себя как законное сопутствующее программное обеспечение Ledger. Эти две операции вместе демонстрируют четкую картину того, как злоумышленники нацелены на пользователей аппаратных кошельков. Вместо того, чтобы использовать уязвимости прошивки, они перехватывают пользователей до того, как те достигнут подлинного устройства. Мошенничество происходит на уровне распределения, а не на уровне протокола. Этот сдвиг делает поведение пользователей и источник покупок более важными, чем когда-либо. Лучшие практики обеспечения безопасности остаются неизменными, несмотря на меняющуюся тактику. Аппаратные кошельки следует приобретать только непосредственно на официальном сайте производителя. Ни одно законное программное обеспечение кошелька никогда не будет запрашивать на экране фразу восстановления из 24 слов. Любое приложение, запрашивающее ввод стартовой фразы, без исключения является мошенничеством. Общий смысл обоих инцидентов прост. Само оборудование остается в безопасности, если оно получено по надлежащим каналам. Теперь уязвимость присутствует в цепочке поставок и экосистеме распространения программного обеспечения. Для обеспечения безопасности необходимо уделять одинаковое внимание как месту приобретения устройства, так и источнику сопутствующего программного обеспечения.