Productos FTTH

Tienda FFTH desde 2004

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Billeteras Ledger falsas en mercados chinos roban semillas y PINs de cripto


Un investigador brasileño en ciberseguridad ha destapado una estafa sofisticada y a gran escala en la cadena de suministro que involucra billeteras hardware falsas Ledger Nano S Plus vendidas en un mercado chino. Estos dispositivos, diseñados desde cero, están programados para robar silenciosamente criptomonedas en aproximadamente 20 blockchains. Los hallazgos, publicados en Reddit por el usuario u/Past_Computer2901, han generado una fuerte alarma en la comunidad de seguridad criptográfica,



Los hallazgos, publicados en Reddit por el usuario u/Past_Computer2901, han generado una fuerte alarma en la comunidad de seguridad cripto, revelando una operación altamente coordinada que combina hardware manipulado, software troyanizado y despliegue de malware multiplataforma en un único sistema de phishing unificado.

El investigador compró el dispositivo a un precio similar al de la tienda oficial de Ledger, con un empaque y listados de producto que parecían auténticos a simple vista. Las sospechas surgieron solo cuando el dispositivo falló la verificación de autenticidad (Genuine Check) al conectarse a una copia legítima de Ledger Live, lo que llevó a un desmontaje físico completo.

Dentro de la carcasa, el engaño se hizo evidente. El chip original de elemento seguro había sido reemplazado por un microcontrolador ESP32-S3, un componente genérico de IoT fabricado por Espressif Systems, con sede en Shanghái, un chip que no tiene cabida en un dispositivo de seguridad hardware.

Las marcas del chip habían sido raspadas físicamente para evitar su identificación, y el dispositivo incluía una antena WiFi/Bluetooth ausente en las unidades genuinas de Ledger Nano S Plus. Durante el modo de arranque, el chip se hacía pasar inicialmente por un producto Ledger legítimo, pero una vez completada la secuencia de inicio, revelaba su verdadera identidad: Espressif Systems.

Un volcado completo del firmware confirmó el hallazgo más alarmante: cada PIN ingresado y frase semilla generada en el dispositivo se almacenaba en texto plano y se transmitía a servidores de comando y control (C2) controlados por los atacantes, incluyendo el dominio kkkhhhnnn[.]com.

El firmware falso estaba etiquetado como "Nano S+ V2.1", una versión que no existe en el listado oficial de firmware de Ledger, lo que servía para infundir falsa confianza. La operación estaba diseñada para vaciar carteras en aproximadamente 20 redes blockchain diferentes de manera simultánea.

El dispositivo falsificado incluía un código QR dentro de la caja, pero en lugar de dirigir a los compradores a ledger.com, los llevaba a un sitio web de phishing clonado, donde descargaban una versión troyanizada de la aplicación Ledger Live.

La app falsa contenía una verificación de autenticidad ("Genuine Check") codificada que siempre mostraba una pantalla de éxito, lo que significaba que los usuarios nuevos de cripto nunca recibirían ninguna advertencia de que su dispositivo estaba comprometido. La aplicación maliciosa no estaba firmada correctamente y robaba silenciosamente los datos de la cartera en el momento en que se usaba.

El alcance de la operación va mucho más allá de una sola app falsa. Los actores de amenazas detrás de esta campaña han desplegado malware en Android, Windows, macOS e iOS, con la variante para iOS distribuida a través del programa TestFlight de Apple para eludir por completo los requisitos de revisión de la App Store.

Un análisis de la infraestructura reveló tres servidores C2, un sitio web clonado y una cadena de redirección mediante códigos QR, todos registrados bajo una empresa fantasma con sede en Shanghái.

De manera crítica, el investigador aclaró que la verificación criptográfica oficial de Ledger (Genuine Check) sí detecta este dispositivo falsificado, pero solo cuando se usa la versión real de Ledger Live descargada desde ledger.com.

La efectividad de la estafa depende por completo de que la víctima nunca interactúe con la aplicación legítima. El investigador ha enviado un informe técnico completo al equipo de seguridad de Ledger, y se espera un análisis más profundo tras su revisión.

Cómo protegerte

  • Compra solo en el sitio web oficial de Ledger (ledger.com) o en revendedores autorizados verificados. Nunca compres en marketplaces chinos de terceros o sitios de subastas.
  • Descarga Ledger Live exclusivamente desde ledger.com. Nunca escanees códigos QR que vengan dentro de la caja para obtener el software.
  • Ejecuta la verificación de autenticidad (Genuine Check) inmediatamente al conectar por primera vez cualquier cartera hardware.
  • Trata cualquier versión de firmware que no esté listada en el changelog oficial de Ledger como una señal de alerta.
  • Reporta dispositivos sospechosos al equipo de seguridad de Ledger en security@ledger.fr.

Este incidente marca uno de los ataques a la cadena de suministro de carteras hardware más sofisticados documentados hasta la fecha, con pérdidas económicas confirmadas que superan los $9.5 millones solo por la componente de la app falsa, afectando a más de 50 víctimas.



Fuentes:
https://cybersecuritynews.com/fake-ledger-hardware-wallets/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.