Un chercheur en sécurité brésilien a alerté sur la dernière arnaque aux dispositifs Ledger contrefaits visant à voler les cryptos des utilisateurs.
Publiant sous le nom de « Past_Computer2901 » sur le canal Reddit « ledgerwallet » jeudi, le chercheur en sécurité a déclaré qu'il avait acheté ce qu'il pensait être un appareil Ledger légitime pour son usage personnel, mais a rapidement réalisé après son arrivée qu'il s'agissait d'une contrefaçon sophistiquée visant à voler les fonds des utilisateurs.
« Il ne s'agit pas de semer la panique, mais plutôt de servir d'avertissement sérieux — je suis honnêtement encore un peu secoué par l'ampleur de cette opération », a-t-il déclaré.
Les escrocs adoptent des stratégies de plus en plus sophistiquées pour cibler les utilisateurs qui optent pour l'auto-garde, allant des attaques de la chaîne d'approvisionnement à l'ingénierie sociale et aux arnaques d'approbation.
Plus tôt ce mois-ci, plus de 50 victimes ont été incitées à révéler leurs phrases de récupération (seed phrases) sur une fausse application Ledger Live qui a réussi à se frayer un chemin vers l'App Store d'Apple via une stratégie de substitution (bait-and-switch). Les victimes ont perdu un total de 9,5 millions de dollars avant qu'Apple ne retire l'application malveillante.
Le chercheur a déclaré qu'il avait acheté le Ledger Nano S Plus sur une place de marché chinoise, au même prix que sur la boutique officielle de Ledger. L'emballage et l'annonce semblaient également légitimes au premier abord.
Cependant, lorsqu'il a connecté l'appareil à l'application Ledger Live authentique — qui était heureusement déjà installée sur son ordinateur — il a échoué au « Genuine Check » (Vérification d'Authenticité) intégré de Ledger.
Cela l'a incité à démonter l'appareil, découvrant du matériel et un micrologiciel modifiés conçus pour capturer et exposer les données sensibles du portefeuille.
Le chercheur en sécurité a déclaré que les escrocs ciblent les nouveaux utilisateurs de Ledger, car le code QR fourni dans la boîte dirigerait normalement les utilisateurs vers le téléchargement d'une version malveillante de l'application Ledger Live qui afficherait un faux « Genuine Check » (Vérification d'Authenticité).
Les utilisateurs qui continueraient à suivre les instructions permettraient finalement aux escrocs d'obtenir les phrases de récupération (seed phrases) d'un utilisateur et de vider ses fonds à tout moment.
« Restez en sécurité. Téléchargez Ledger Live uniquement depuis ledger.com. Achetez le matériel uniquement sur ledger.com », a déclaré le chercheur en sécurité.
« Si votre appareil échoue au Genuine Check (Vérification d'Authenticité) — arrêtez de l'utiliser immédiatement. »
Après avoir démonté l'appareil, ils ont découvert des signes évidents de manipulation, notamment des marquages de puce grattés et une antenne WiFi et Bluetooth intégrée à l'unité.
Les produits matériels Ledger légitimes sont conçus pour garder les clés privées entièrement hors ligne.
À lire aussi : Un musicien perd 420 000 $ de Bitcoin « fonds de retraite » via une fausse application Ledger
Le chercheur en sécurité a ensuite examiné le micrologiciel, en plaçant la « puce en mode de démarrage », ce qui a initialement identifié l'appareil comme un Nano S Plus 7704 avec un numéro de série attaché.
Cependant, une fois la séquence de démarrage terminée, le nom d'un autre fabricant est apparu : Espressif Systems, une société chinoise de semi-conducteurs cotée en bourse et basée à Shanghai.
Cointelegraph a contacté Espressif pour obtenir un commentaire mais n'a pas reçu de réponse immédiate.
Magazine : Qu'est-ce qu'un « État-réseau » et existe-t-il des exemples concrets ? Grandes questions
