Um pesquisador de segurança brasileiro, identificado como Past_Computer2901 no Reddit, acredita ter descoberto um esquema de falsificação de carteiras físicas da Ledger. Além de roubar criptomoedas, o dispositivo também infecta os sistemas operacionais Android, Windows, macOS e iOS.
A pesquisa foi republicada por diversos perfis em outras redes sociais, ganhando tração.
Também nesta semana, outros golpistas fizeram mais de 50 vítimas ao distribuir uma carteira falsa da Ledger na App Store da Apple. Embora os vetores dos ataques sejam diferentes, os alvos são os mesmos.
Brasileiro documenta investigação sobre carteiras falsas da Ledger
A saga de Past_Computer2901 já conta com três postagens no Reddit. Indo além, o pesquisador brasileiro também afirma que já entrou em contato com a própria equipe da Ledger para divulgar as informações descobertas.
No primeiro texto, publicado na quarta-feira (15), o profissional relata que comprou uma “Ledger Nano S” em um marketplace chinês, mas teve uma surpresa ao receber o produto.
“O preço era suspeito e a embalagem parecia “ok” à distância, mas no momento em que abri, era claramente uma falsificação. Em vez de descartar, decidi desmontá-lo.”
Na investigação, ele descobriu que o ST33 utilizado pela fabricante foi substituído por um ESP32-S3 e que as marcações do chip foram lixadas para dificultar a identificação.
Pesquisador mostra carteiras lado a lado para efeito de comparação. Fonte: Past_Computer2901/Reddit.
Mais diferenças podem ser vistas após as carteiras serem abertas. Fonte: Past_Computer2901/Reddit.
Já o firmware aparecia como “Ledger Nano S+ V2.1”, uma versão que não existe.
A grande revelação é que as frases semente (jogo de 12 ou 24 palavras) eram gravadas em texto puro e então enviadas para um servidor C2 (Command and Control) dos hackers.
Além de roubar criptomoedas, a carteira falsa também estaria distribuindo um .exe malicioso para Windows ou então um .dmg para macOS e iOS TestFlight para burlar revisões da App Store.
“Estamos falando de cinco vetores distintos: hardware, Android, Windows, macOS e iOS.”
Pesquisador fez nova postagem esclarecendo dúvidas
Após receber cerca de 100 comentários em sua primeira publicação, Past_Computer2901 postou um novo texto nesta quinta-feira (16) abordando pontos que ficaram dúbios.
Como exemplo, o pesquisador afirma que o Genuine Check do Ledger Live consegue detectar que a carteira é falsa.
No entanto, destaca que dentro da caixa há um cartão com um QR code que leva o usuário a um site falso da Ledger.
“Esse é o golpe. O usuário nunca acessa o ledger.com real”, explicou o brasileiro, notando que o software falsificado autentica a carteira falsa.
Postando mais fotos, o pesquisador mostra como o PIN e as palavras-chave que dão acesso aos fundos são armazenados em texto puro.
Pesquisador revela que seed phrase está exposta em texto puro em carteira falsificada da Ledger. Fo
1