Неизвестные злоумышленники рассылают поддельные устройства Ledger Nano X с впаянными флэш-накопителями. Посылки сопровождаются плохо написанным письмом, компрометирующим все усилия мошенников.
Аппаратная подделка
Неизвестные злоумышленники рассылают владельцам аппаратных кошельков для криптовалюты Ledger поддельные устройства, очевидно с целью хищения чужих активов. Мошенников, однако, подводит низкое качество сопроводительного письма.
Аппаратные кошельки Ledger — весьма популярные устройства, которые можно приобрести в том числе в России. Существуют три модификации — Nano S, Nano X и Blue, отличающиеся функциональностью и ценой. Nano X стоит почти вдвое дороже Nano S, Blue — топовая модель, снабжённая сенсорным экраном и дополнительными инструментами безопасности, которая стоит в полтора раза дороже Nano X.
Как написал один пользователь на ресурсе Reddit, ему пришла весьма убедительно выглядящая копия Ledger Nano X. В сопроводительном письме, отпечатанном на бумаге, говорилось, что производитель рассылает обладателям Ledger новые устройства, поскольку информация о пользователях утекла на хакерский форум RaidForums.
Сопроводительная халтура
Но мошенников подводит плохое владение языком в сопроводительном письме: «По этим соображениям безопасности мы высылаем вам новое устройство вы должны использовать новое устройство, чтобы оставаться защищённым. Внутри новой упаковки размещается мануал, который вы можете прочесть, чтобы узнать, как настроить новое устройство», — говорится в письме. Там же приводится и совсем загадочная фраза: «По этой причине мы поменяли структуру устройства. Теперь мы гарантируем, что такой типа взлом больше никогда не произойдёт».
Стоит отметить, что данные более чем 272 тысяч покупателей легитимных устройств Ledger действительно были опубликована на RaidForums в декабре 2020 г.
Заподозрив неладное, получатель «нового устройства Ledger» вскрыл его и опубликовал фотографию на Reddit. Даже самого поверхностного сравнения с оригинальным устройством достаточно, чтобы обнаружить модификации.
Эксперт по аппаратным устройствам Майк Гроувер (Mike Grover) сообщил изданию Bleeping Computer, что мошенники встроили в поддельный Nano X флэш-накопитель и подсоединили его к USB-коннектору. Вероятнее всего — с целью установки вредоносного софта на компьютер жертвы. Пайка выполнена неаккуратно.
В инструкциях, приложенных к поддельному устройству, жертве предлагается подсоединить его к компьютеру и запустить встроенное приложение, а затем в открывшемся поле ввести контрольную фразу для восстановления.
Эта фраза используется для генерации приватного ключа безопасности для конкретного кошелька. Зная эту фразу, злоумышленники могут импортировать на свои устройства чужой криптокошелёк со всем его содержимым. Ради этого, по-видимому, мошенническая акция и затеяна.
«Подход можно было бы назвать технологичным, но всё портит халтурное исполнение сопроводительного письма, — говорит Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — В случае, если бы текст был написан более качественно, многие пользователи Ledger вполне могли бы купиться на обман и лишиться своих криптоактивов».
Последствия прошлогодней атаки
Официальный производитель криптокошельков Ledger в курсе действий мошенников: ещё в мае предупреждение о рассылке поддельных устройств было опубликовано на его сайте в разделе, посвящённом фишингу. Пользователей предупреждают о необходимости вводить фразу для восстановления только на самом легитимном устройстве или, если такой возможности нет, только в официальном приложении Ledger Live.
Ledger подвергся кибератаке в июне 2020 г. Тогда злоумышленникам удалось вывести базу данных, использовавшуюся для онлайн-коммерции и маркетинга. После этого клиенты Ledger начали получать многочисленные фишинговые сообщения со ссылками на поддельные приложения. Их целью было — выманить всю ту же фразу для восстановления.
Интенсивность и разнообразие фишинговых атак резко возросла после того, как данные клиентов Ledger попали на RaidForums. Рассылка аппаратных подделок — лишь одна из их разновидностей.