Ledger Nano S+ falsificado vacía billeteras en 20 cadenas

Un investigador de seguridad con sede en Brasil expone una operación falsificada de Ledger Nano S+ que utiliza firmware malicioso y apps falsas para vaciar billeteras en 20 blockchains.

Un investigador de seguridad con sede en Brasil ha expuesto una de las operaciones falsificadas de Ledger Nano S+ más sofisticadas jamás documentadas. El dispositivo falso, procedente de un mercado chino, contenía firmware malicioso personalizado y una app clonada. El atacante robó inmediatamente cada frase semilla que los usuarios ingresaron.

El investigador compró el dispositivo por sospecha de irregularidades de precio. Al abrirlo, la naturaleza falsificada era obvia. En lugar de descartarlo, procedió con un desmontaje completo.

Lo que estaba oculto dentro del chip

El Ledger Nano S+ genuino utiliza un chip ST33 Secure Element. Este dispositivo tenía un ESP32-S3 en su lugar. Las marcas del chip fueron lijadas físicamente para bloquear la identificación. El firmware se identificó como "Ledger Nano S+ V2.1" — una versión que no existe.

Los investigadores encontraron semillas y PINs almacenados en texto plano después de realizar un volcado de memoria. El firmware se comunicaba con un servidor de comando y control en kkkhhhnnn[.]com. Cualquier frase semilla ingresada en este hardware fue exfiltrada instantáneamente.

El dispositivo soporta aproximadamente 20 blockchains para el vaciado de billeteras. Eso no es una operación menor.

Cinco vectores de ataque, no uno

El vendedor incluyó una app modificada "Ledger Live" con el dispositivo. Los desarrolladores construyeron la app con React Native usando Hermes v96 y la firmaron con un certificado Android Debug. Los atacantes ni siquiera se molestaron en obtener una firma legítima.

La app se conecta a XState para interceptar comandos APDU. Utiliza solicitudes XHR sigilosas para extraer datos silenciosamente. Los investigadores identificaron dos servidores adicionales de comando y control: s6s7smdxyzbsd7d7nsrx[.]icu y ysknfr[.]cn.

Esto no se limita a Android. La misma operación distribuye un .EXE para Windows y un .DMG para macOS, similar a campañas rastreadas por Moonlock bajo AMOS/JandiInstaller. Una versión iOS TestFlight también circula, evitando completamente la revisión de la App Store — una táctica previamente vinculada a estafas CryptoRom. Cinco vectores en total: hardware, Android, Windows, macOS, iOS.

La Verificación Genuina no puede salvarte aquí

La guía oficial de Ledger confirma que los dispositivos genuinos llevan una clave criptográfica secreta configurada durante la fabricación. La Verificación Genuina de Ledger en Ledger Wallet verifica esta clave cada vez que se conecta un dispositivo. Según la documentación de soporte de Ledger, solo un dispositivo genuino puede pasar esa verificación.

El problema es simple. Una vulneración durante la fabricación hace inútil cualquier verificación de software. El firmware malicioso imita lo suficiente del comportamiento esperado para superar las verificaciones básicas. El investigador confirmó esto directamente en el desmontaje.

Anteriores ataques a la cadena de suministro dirigidos a usuarios de Ledger han demostrado repetidamente que la verificación a nivel de empaquetado por sí sola es insuficiente. Casos documentados en BitcoinTalk registran usuarios individuales perdiendo más de $200,000 por billeteras de hardware falsas de plataformas de terceros.

Dónde se venden estos dispositivos

Las plataformas de terceros son el canal de distribución principal. Vendedores de terceros de Amazon, eBay, Mercado Livre, JD y AliExpress tienen todos historiales documentados de listar billeteras de hardware comprometidas, señaló el investigador en la publicación de Reddit en r/ledgerwallet.

El punto de precio es deliberadamente sospechoso. Esa es la trampa. Una fuente no oficial no ofrece un Ledger con descuento como oferta—vende un producto comprometido para beneficiar al atacante.

Los canales oficiales de Ledger son su propio sitio de comercio electrónico en Ledger.com y tiendas verificadas de Amazon en 18 países. Ningún otro lugar ofrece garantía de autenticidad.

Qué hará el investigador a continuación

El equipo preparó un informe técnico integral para el equipo Donjon de Ledger y su programa de recompensas por phishing, y publicará el informe completo después de que Ledger complete su análisis interno.

El investigador ha puesto los IOC a disposición de otros profesionales de seguridad a través de mensajes directos. Cualquiera que haya comprado un dispositivo de una fuente cuestionable puede contactar para asistencia de identificación.

Las señales de alerta clave siguen siendo simples. Una frase semilla pregenerada incluida con el dispositivo es una estafa. La documentación que pide a los usuarios escribir una frase semilla en una app es una estafa. Destruya el dispositivo inmediatamente en cualquiera de los casos.

La publicación Counterfeit Ledger Nano S+ Drains Wallets Across 20 Chains apareció primero en Live Bitcoin News.