Les utilisateurs de portefeuilles matériels Ledger ont reçu de nouveaux appareils par la poste, soi-disant pour les protéger des conséquences d’une fuite survenue à l’été 2020. En fait, les “portefeuilles” sont modifiés par des pirates et sont conçus pour voler des crypto-monnaies. Cela a été annoncé par un membre de la communauté des profils sur Reddit sous le pseudo jjrand.
L’appareil est emballé dans un emballage d’apparence authentique et ressemble à un Ledger Nano X. L’emballage contient une lettre avec une abondance de fautes de grammaire et d’orthographe. Dans ce document, des inconnus au nom de la société ont déclaré que le “portefeuille” a été envoyé pour remplacer celui existant et est conçu pour assurer la sécurité des clients.
« Nous avons modifié la structure de notre appareil. Nous garantissons désormais qu’une telle violation ne se reproduira plus jamais. Vous devez passer à un nouvel appareil », indique la lettre.
Les utilisateurs ont comparé les circuits imprimés de l’appareil d’origine et celui reçu dans l’emballage. Leur différence est visuellement perceptible sur les photographies :
Le chercheur en sécurité Mike Grover, après avoir examiné les photographies, a conclu que les attaquants avaient rajouté des composants à la clé usb.
« On dirait qu’il s’agit simplement d’une clé USB attachée à un Ledger avec l’intention de diffuser une sorte de malware. Tous les composants sont de l’autre côté, je ne peux donc pas confirmer que l’appareil ne fonctionne comme périphérique de stockage. Mais à en juger par la soudure, il ne s’agit probablement que d’un mini-clé USB sans boîtier », a-t-il déclaré.
Grover a ajouté que l’implant de lecteur flash a quatre fils connectés à des broches similaires sur le port USB du ledger.
L’appareil est livré avec un manuel d’installation. L’utilisateur est invité à connecter « Ledger » à son ordinateur et à exécuter l’application fournie. Après cela, le programme vous demande d’entrer la phrase de récupération du ledger afin d’importer soi-disant votre portefeuille sur le nouvel appareil.
Si l’utilisateur entre ces informations, les attaquants pourront accéder à son portefeuille et voler les crypto-monnaies qu’il contient.
Ledger a déclaré être au courant de cette arnaque et en a averti les utilisateurs courant mai.
La société a de nouveau demandé aux clients d’utiliser le logiciel uniquement à partir du site officiel Ledger.com et de ne dire à personne la phrase pour restaurer l’accès au portefeuille.
Pour rappel, la fuite de données d’un million d’utilisateurs de Ledger s’est produite le 25 juin 2020. Une partie inconnue a eu accès aux adresses e-mail, noms, numéros de téléphone des utilisateurs.
