تنبيه: تم رصد محافظ الأجهزة المعدلة في البرية

في الأسبوع الماضي ، أبلغ شخص ما على subreddit ليدجر عن تلقيه حزمة غير مرغوب فيها مع ليدجر نانو إكس مع رسالة من "المدير التنفيذي" ليدجر. تحاول عملية الاحتيال خداع الأشخاص لترحيل مقتنياتهم المشفرة إلى الجهاز الجديد المعدل. قررت شركة Kraken Security Labs استكشاف عملية التصيد الاحتيالي المفترضة هذه.

في الفيديو أعلاه ، يوضح فريق الأمان لدينا كيف كان من المفترض أن يتم تنفيذ عملية الاحتيال هذه ، كما هو الحال مع هجمات التصيد الاحتيالي السابقة في دفتر الأستاذ، سوف يشرح أفضل السبل لتجنب حدوث هذه الهجمات لك. 

كملاحظة مهمة ، لا توجد عيوب في محفظة Ledger أو البرامج الثابتة الخاصة بها. الغرض من الفيديو والمدونة هو ببساطة زيادة الوعي حول هجوم التصيد الاحتيالي هذا ، حيث أن هذا غالبًا ما يكون أفضل طريقة لمنع وقوع أصحاب العملات المشفرة ضحية لهذه المحاولات. 

الحرف والجهاز

تم تسليم الطرد فيما بدا أنه غلاف تقليص رسمي ليدجر. ولكن بعد فتح الحزمة ، اكتشف المستلم علامة حمراء فورية. كانت الرسالة ، التي يُزعم أنها من الرئيس التنفيذي لشركة Ledger ، باسكال غوتييه ، مكتوبة بشكل سيء باللغة الإنجليزية وكانت بها أخطاء طوال الوقت ؛ بالكاد يتفق مع الاتصالات التي يتلقاها العملاء عادةً من الشركات. 

بعد أن سمعت بالفعل عن الوقوع ضحية لخرق البيانات في الماضي ، شعر المستلم بريبة متزايدة. قرروا تفكيك دفتر الأستاذ ونشر صور الدواخل على Reddit. سرعان ما اكتشف المجتمع أن عصا USB صغيرة تم زرعها سراً في الجهاز. بمجرد توصيله بجهاز كمبيوتر ، سيظهر الجهاز على شكل عصا USB ، تحتوي على تطبيق ضار يحاول الاحتيال على بذرة المستخدم

يمكنك أيضًا التحقق من كتابة Bleepingcomputer الكاملة للهجوم هنا.

إعادة بناء الهجوم   

أعادت شركة Kraken Security Labs بناء الهجوم لتوضيح كيفية عمل هجوم التصيد الإلكتروني المتطور للغاية في العالم الحقيقي ، لذلك يكون العملاء مستعدين في حالة ما إذا كان يجب على أي شخص محاولة ذلك.

طلبت شركة Kraken Security Labs محفظة Ledger Nano X عبر الإنترنت. بمجرد استلامنا ، استخدمنا عصا USB صغيرة بسيطة كغرسة ، مستخرجة من هدية ترويجية. بعد إزالة بعض الحشو ، تم تركيب عصا USB تمامًا أسفل شاشة المحفظة.

بعد ذلك ، تمامًا مثل المهاجم الأصلي ، استخدمنا سلكًا مغناطيسيًا لتوصيل جهات اتصال عصا USB بخطوط بيانات USB على لوحة الدوائر المطبوعة (PCB) للمحفظة الأصلية ، والتي تربط جميع المكونات الكهربائية للجهاز معًا.

لمنع التعارض بين عصا USB ووحدة المعالجة المركزية ليدجر ، كان علينا إجراء تعديلات إضافية. خبير أمن الأجهزة مايك جروفر أبرزت أن المهاجمين قد أزالوا مذبذبًا - وهو مكون يسمح للجهاز أساسًا بالحفاظ على الوقت - لمنع وحدة المعالجة المركزية من التداخل مع عصا USB. وجد اختبارنا أن إزالة هذا المكون من شأنه تعطيل الجهاز ، مما يجعل الهجوم أكثر وضوحًا. أجرت شركة Kraken Security Labs تعديلاً مختلفًا قليلاً بحيث تعمل المحفظة بشكل طبيعي وبالتالي ستثير شكوكًا أقل. وشمل ذلك السماح بالاتصالات المنتظمة بالمحفظة عبر البلوتوث. بالإضافة إلى ذلك ، وجدنا أن المهاجمين أجروا مزيدًا من التعديلات على الأجهزة لجعل اتصال USB يعمل.

من الخارج ، يكاد يكون من المستحيل التمييز بين محفظة ليدجر أصلية ومحفظة باب خلفي. يتم إخفاء USB-stick أسفل الشاشة ، وتقوم الأسلاك الصغيرة بتوصيله بـ Ledger PCB. عند توصيلها ، سيتم تشغيل المحفظة وشحن بطاريتها وتبدو مثل دفتر الأستاذ غير المعدل تمامًا.

عند توصيل الجهاز بجهاز كمبيوتر ، سيظهر على شكل عصا USB ، تحتوي فقط على تطبيق "Ledger Live" المزيف الذي سيحاول خداع الضحية لإدخال العبارة الأولية ، مما سيمكن المهاجمين من استنزاف الأموال من محفظتهم .

تذكير

عند استخدام محفظة أجهزة ، تأكد دائمًا من طلبك مباشرة من البائع وتحقق من أن العبوة ، بما في ذلك غلاف السيلوفان ، لم يتم العبث بها. 

إذا ساورك الشك في أي وقت ، فاتصل ببائع المحفظة مباشرة أو تحدث إلى شخص ما من خلال بوابة الدعم الرسمية.

ابق على اطلاع بأحدث تنبيهات الأمان وأفضل الممارسات مع مختبرات كراكن الأمنية.

المصدر: https://blog.kraken.com/post/9659/alert-modified-hardware-wallets-spotted-in-the-wild/