Przestępcy wysyłają zmodyfikowane portfele Ledger, aby ukraść kryptowaluty
Oszuści wysyłają nieświadomym użytkownikom zmodyfikowane portfele sprzętowe Ledger.
Pewien użytkownik Ledgera podzielił się na Reddicie informacją o tym, że otrzymał pocztą coś, co tylko przypominało urządzenie Ledger Nano X.
Jak widać na poniższych zdjęciach, urządzenie zostało dostarczone w autentycznie wyglądającym opakowaniu, ze słabo napisanym listem przewodnim. Portfel został wysłany w celu zastąpienia istniejącego z wyjaśnieniem, że stało się tak na skutek wycieku informacji o klientach na forum hakerskim RaidForum.
„Z tego powodu, ze względów bezpieczeństwa, wysłaliśmy Ci nowe urządzenie. Musisz przełączyć na nowe urządzenie, aby pozostać bezpieczny. Wewnątrz nowego pudełka znajduje się instrukcja, którą możesz przeczytać, aby dowiedzieć się, jak skonfigurować nowe urządzenie” – czytamy w fałszywym, spreparowanym przez oszustów liście.
„Z tego powodu zmieniliśmy strukturę naszych urządzeń. Teraz gwarantujemy, że podobne naruszenie bezpieczeństwa nigdy się nie powtórzy”.
Mimo że list zawierał błędy gramatyczne i ortograficzne, dane 272 853 osób, które kupiły urządzenie Ledger, zostały faktycznie opublikowane na forum hakerskim RaidForums w grudniu 2020 r. Dało to nieco przekonujące wyjaśnienie dotyczące wysłania „nowego” portfela.
W opakowaniu znajdowało się również zapakowane w folię pudełko Ledger Nano X, które zawierało coś, co wyglądało na oryginalne urządzenie.
Nabrawszy podejrzeń co do legalności całego procederu użytkownik zajrzał do środka i udostępnił zdjęcia płytki fałszywego Ledgera na Reddicie, które wyraźnie pokazują, że urządzenie zostało zmodyfikowane.
Ekspert bezpieczeństwa Mike Grover, znany również jako MG, wyznał redakcji BleepingComputer, że cyberprzestępcy dodali dysk flash i podłączyli go do złącza USB.
„Wydaje się, że jest to po prostu dysk flash przypięty do Ledgera w celu dostarczania jakiegoś rodzaju złośliwego oprogramowania” – skomentował Grover.
„Wszystkie elementy są po drugiej stronie, więc nie mogę potwierdzić, czy to TYLKO urządzenie do przechowywania danych, ale…. sądząc na podstawie bardzo amatorskim wykonaniu lutowania, jest to prawdopodobnie tylko mini pendrive wyjęty z obudowy.”
Na poniższym obrazku Grover zaznaczył implant pamięci flash podłączony do przewodów. „Te 4 przewody łączą te same połączenia dla portu USB Ledgera”.
Załączone instrukcje informują użytkownika, aby podłączył Ledger do swojego komputera, otworzył wyświetlony wyświetlony folder napędu i uruchomił załączoną aplikację.
Następnie instrukcje instruują osobę, aby wpisała swoją frazę odzyskiwania Ledger, aby zaimportować istniejący portfel na nowe urządzenie.
Fraza odzyskiwania jest czytelnym dla człowieka ziarnem (seed) używanym do generowania klucza prywatnego dla określonego portfela. Każdy, kto zna tę frazę odzyskiwania, może zaimportować portfel i uzyskać dostęp do zawartej w nim kryptowaluty.
Po wpisaniu frazy odzyskiwania jest ona wysyłana do atakujących, którzy wykorzystują ją do importowania portfela ofiary na własne urządzenia w celu kradzieży zawartych w nim środków kryptowalutowych.
Ledger wie o tym oszustwie i umieścił ostrzeżenia o nim w maju na swojej dedykowanej stronie phishingowej.
Pamiętaj, frazy odzyskiwania Ledger nigdy nie powinny być nikomu udostępniane i powinny być wprowadzane tylko bezpośrednio na urządzeniu Ledger, które próbujesz odzyskać. Jeżeli urządzenie nie zapewnia możliwości bezpośredniego wpisania frazy, należy korzystać wyłącznie z aplikacji Ledger Live pobranej bezpośrednio ze strony Ledger.com.