冒牌 Ledger Nano S+ 竊取 20 條鏈上錢包資產

一名巴西安全研究人員揭露了一起使用惡意韌體和假冒應用程式的仿冒 Ledger Nano S+ 行動,可盜取 20 條區塊鏈上的錢包資產。

一名巴西安全研究人員揭露了有史以來記錄中最複雜的 仿冒 Ledger Nano S+ 行動之一。這款從中國市場採購的假冒裝置,搭載了客製化惡意韌體和克隆應用程式。攻擊者會立即盜取使用者輸入的每個助記詞。

該研究人員因懷疑價格異常而購買了該裝置。打開後,仿冒本質顯而易見。他沒有丟棄它,而是進行了完整拆解。

晶片內藏的秘密

正版 Ledger Nano S+ 使用 ST33 安全元件晶片。這款裝置卻使用了 ESP32-S3。晶片標記被物理打磨以阻止識別。該韌體將自己標識為「Ledger Nano S+ V2.1」— 一個不存在的版本。

調查人員在進行記憶體轉儲後發現助記詞和 PIN 碼以明文形式儲存。該韌體會向位於 kkkhhhnnn[.]com 的命令與控制伺服器發送信標。任何輸入到該硬體的助記詞都會被立即竊取。

該裝置支援約 20 條區塊鏈的錢包盜取。這絕非小規模行動。

五個攻擊向量,而非一個

賣家將一個修改過的「Ledger Live」應用程式與裝置捆綁銷售。開發者使用 React Native 搭配 Hermes v96 建構該應用程式,並使用 Android Debug 證書簽署。攻擊者根本沒有費心取得合法簽章。

該應用程式掛鉤到 XState 以攔截 APDU 指令。它使用隱密的 XHR 請求悄悄竊取資料。調查人員識別出兩個額外的命令與控制伺服器:s6s7smdxyzbsd7d7nsrx[.]icu 和 ysknfr[.]cn。

這不僅限於 Android。同一行動還散布用於 Windows 的 .EXE 檔案和用於 macOS 的 .DMG 檔案,類似於 Moonlock 追蹤的 AMOS/JandiInstaller 活動。一個 iOS TestFlight 版本也在流通,完全繞過 App Store 審查 — 這是之前與 CryptoRom 詐騙相關的策略。總共五個向量:硬體、Android、Windows、macOS、iOS。

正版檢查無法在此拯救您

Ledger 的官方指南確認正版裝置在製造過程中設定了秘密加密金鑰。Ledger 錢包中的 Ledger 正版檢查會在每次裝置連接時驗證此金鑰。根據 Ledger 的支援文件,只有正版裝置才能通過該檢查。

問題很直接。製造過程中的妥協使任何軟體檢查都變得無用。惡意韌體模仿了足夠的預期行為以通過基本檢查。研究人員在拆解中直接證實了這一點。

過去 針對 Ledger 使用者的供應鏈攻擊 已反覆證明僅靠包裝層級的驗證是不夠的。BitcoinTalk 上記錄的案例顯示,個別使用者因從第三方市場購買假冒硬體錢包而損失超過 200,000 美元。

這些裝置的銷售管道

第三方市場是主要銷售管道。Amazon 第三方賣家、eBay、Mercado Livre、JD 和 AliExpress 都有記錄在案的上架受損硬體錢包歷史,該研究人員在 r/ledgerwallet 的 Reddit 貼文中指出。

價格點刻意設定得可疑。那就是誘餌。非官方來源不會將折扣 Ledger 作為優惠提供 — 它銷售的是受損產品以使攻擊者獲益。

Ledger 的官方管道是其在 Ledger.com 的自有電商網站以及遍布 18 個國家的認證 Amazon 商店。其他地方都無法保證真實性。

研究人員的下一步行動

該團隊為 Ledger 的 Donjon 團隊及其網路釣魚獎勵計畫準備了一份全面的技術報告,並將在 Ledger 完成內部分析後發布完整報告。

該研究人員已透過私訊向其他安全專業人員提供 IOC。任何從可疑來源購買裝置的人都可以聯繫以獲得識別協助。

關鍵危險信號依然簡單。裝置附帶預先生成的助記詞就是詐騙。要求使用者將助記詞輸入應用程式的文件就是詐騙。無論哪種情況都應立即銷毀該裝置。

本文《仿冒 Ledger Nano S+ 盜取 20 條鏈上錢包》首次發表於 Live Bitcoin News。