Ledger Nano S+ Palsu Menguras Dompet di 20 Rantai

Seorang peneliti keamanan berbasis di Brasil mengungkap operasi Ledger Nano S+ palsu yang paling canggih yang pernah didokumentasikan, menggunakan firmware berbahaya dan aplikasi palsu untuk menguras dompet di lebih dari 20 blockchain.

Seorang peneliti keamanan dari Brasil telah mengungkap salah satu operasi Ledger Nano S+ palsu paling canggih yang pernah didokumentasikan. Perangkat palsu ini, yang diperoleh dari pasar China, dilengkapi firmware berbahaya khusus dan aplikasi kloning. Penyerang langsung mencuri setiap frase seed yang dimasukkan pengguna.

Peneliti tersebut membeli perangkat tersebut karena mencurigai adanya ketidakwajaran harga. Setelah dibuka, sifat palsunya sangat jelas. Alih-alih membuangnya, dilakukan pembongkaran lengkap.

Apa yang Tersembunyi di Dalam Chip

Ledger Nano S+ asli menggunakan chip Elemen Aman ST33. Perangkat ini justru memakai ESP32-S3. Tanda-tanda chip tersebut secara fisik digosok agar identifikasi terhalang. Firmware-nya mengaku sebagai “Ledger Nano S+ V2.1” — sebuah versi yang tidak pernah ada.

Penyelidik menemukan seed dan PIN yang disimpan dalam teks biasa setelah melakukan dump memori. Firmware-nya mengirim sinyal ke server command-and-control di kkkhhhnnn[.]com. Setiap frase seed yang dimasukkan ke perangkat ini langsung diekstraksi.

Perangkat ini mendukung sekitar 20 blockchain untuk pengurasan dompet. Itu bukan operasi kecil.

Lima Vektor Serangan, Bukan Satu

Penjual mengemas aplikasi “Ledger Live” yang dimodifikasi bersama perangkat. Pengembang membangun aplikasi tersebut dengan React Native menggunakan Hermes v96 dan menandatanganinya dengan sertifikat Debug Android. Penyerang tidak repot mendapatkan tanda tangan resmi.

Aplikasi ini mengait ke XState untuk menyadap perintah APDU. Ia menggunakan permintaan XHR yang tersembunyi untuk menarik data secara diam-diam. Penyelidik mengidentifikasi dua server command-and-control tambahan: s6s7smdxyzbsd7d7nsrx[.]icu dan ysknfr[.]cn.

Ini tidak terbatas pada Android. Operasi yang sama juga mendistribusikan file .EXE untuk Windows dan .DMG untuk macOS, menyerupai kampanye yang dilacak oleh Moonlock di bawah AMOS/JandiInstaller. Versi iOS TestFlight juga beredar, melewati review App Store sama sekali — sebuah taktik yang sebelumnya terkait dengan penipuan CryptoRom. Total ada lima vektor: perangkat keras, Android, Windows, macOS, iOS.

Pemeriksaan Keaslian Tidak Bisa Menyelamatkan Anda Di Sini

Panduan resmi Ledger mengonfirmasi bahwa perangkat asli menyimpan satu set kunci kriptografi rahasia saat proses pembuatan. Pemeriksaan Keaslian Ledger di Ledger Wallet memverifikasi kunci ini setiap kali perangkat terhubung. Menurut dokumentasi dukungan Ledger, hanya perangkat asli yang bisa melewati pemeriksaan tersebut.

Masalahnya sederhana. Kompromi selama proses pembuatan membuat pemeriksaan perangkat lunak menjadi tidak berguna. Firmware berbahaya ini meniru cukup banyak perilaku yang diharapkan agar bisa melewati pemeriksaan dasar. Peneliti mengonfirmasi hal ini langsung melalui pembongkaran.

Serangan rantai pasokan sebelumnya yang menargetkan pengguna Ledger secara berulang menunjukkan bahwa verifikasi tingkat kemasan saja tidak cukup. Kasus yang didokumentasikan di BitcoinTalk mencatat pengguna kehilangan lebih dari $200.000 karena dompet perangkat keras palsu dari pasar pihak ketiga.

Di Mana Perangkat Ini Dijual

Marketplace pihak ketiga adalah saluran distribusi utama. Penjual pihak ketiga di Amazon, eBay, Mercado Livre, JD, dan AliExpress semuanya memiliki riwayat yang terdokumentasi menjual dompet perangkat keras yang telah dikompromikan, catat peneliti dalam posting Reddit di r/ledgerwallet.

Harga yang ditawarkan sengaja mencurigakan. Itulah daya tariknya. Sumber tidak resmi tidak menawarkan Ledger diskon sebagai penawaran — mereka menjual produk yang telah dikompromikan demi keuntungan penyerang.

Saluran resmi Ledger adalah situs e-commerce mereka di Ledger.com dan toko Amazon yang terverifikasi di 18 negara. Tidak ada tempat lain yang menjamin keaslian produk.

Apa yang Dilakukan Peneliti Selanjutnya

Tim telah menyiapkan laporan teknis lengkap untuk tim Donjon Ledger dan program bounty phishing-nya, dan akan merilis penjelasan lengkap setelah Ledger menyelesaikan analisis internalnya.

Peneliti tersebut telah menyediakan IOC kepada profesional keamanan lain melalui pesan langsung. Siapa pun yang membeli perangkat dari sumber yang meragukan dapat menghubungi untuk bantuan identifikasi.

Tanda bahaya utama tetap sederhana. Frase seed yang dihasilkan sebelumnya dan disertakan dengan perangkat adalah penipuan. Dokumentasi yang meminta pengguna mengetik seed ke dalam aplikasi juga penipuan. Segera hancurkan perangkat dalam kedua kasus tersebut.