Les tactiques de phishing deviennent de plus en plus sophistiquées, comme le montre l’arnaque aux faux portefeuilles Ledger. Ces derniers, rappelons-le, permettent de stocker la clé privée d’un portefeuille de cryptomonnaie dans un élément sécurisé. Or, comme l’a relevé Bleeping Computer, un utilisateur Reddit a récemment reçu un paquet à l’effigie de cette société française avec, à l’intérieur, quelque chose qui ressemble comme deux gouttes d’eau à ce fameux appareil.
Une lettre apparemment signée par le PDG Pascal Gauthier — mais écrit dans un langage approximatif et parfois familier — avertissait l’utilisateur qu’en raison d’un vol de données, un remplacement de son matériel lui était proposé, par mesure de sécurité. Il suffisait de brancher le nouvel équipement sur l’ordinateur et de lancer l’application située dans le lecteur intitulé « Ledger ». Le but affiché du logiciel est de migrer le portefeuille vers le nouvel appareil. À un moment, l’utilisateur est invité à rentrer la série de mots — également appelé « seed » — qui permet de régénérer la clé privée du portefeuille.
Si l’utilisateur s’exécute, il perd automatiquement le contenu de son portefeuille. Comme a pu le constater le hacker « _MG_ », l’appareil est un véritable Ledger Nano X sur lequel a été greffé un disque de stockage Flash qui a été connecté sur l’interface USB. Quand il est inséré dans l’ordinateur, ce n’est donc pas le Ledger qui est activé, mais ce disque de stockage Flash. Dès que la « seed » est renseignée dans le formulaire, elle est envoyée aux pirates, qui peuvent alors mettre la main sur le portefeuille de la victime.
Malicious hardware implant in the wild!
I helped @LawrenceAbrams dig into this. It’s a hardware wallet with a malicious implant added. It’s being mailed to targets.
Read about it here: https://t.co/Hu8Vp6Au5o pic.twitter.com/TUGEmo7nwm
— _MG_ (@_MG_) June 16, 2021
Ce type d’arnaque se déroule depuis plusieurs mois. Le 10 mai dernier, Ledger avait déjà diffusé une alerte sur le sujet. L’opération est d’autant plus crédible que le vol de données auquel elle fait référence est réel. Les 25 juin 2020, les données d’environ un million de clients de Ledger ont été siphonnées sur le site web du fournisseur. Parmi eux figuraient plus de 272000 détenteurs d’un portefeuille Ledger (les autres sont des abonnés à la newsletter). Or, l’utilisateur Reddit qui a reçu le paquet malveillant est effectivement l’une de ces victimes. Il s’agit donc d’une attaque plutôt ciblée.
A découvrir aussi en vidéo :
L’effort fourni pour réaliser cette arnaque est impressionnant. Elle suppose en effet de récupérer un Ledger, d’extraire le circuit imprimé du boîtier métallique et puis d’y souder manuellement un disque Flash. Elle nécessite également d’imprimer une fausse lettre et une fausse notice technique. Si les pirates ont pour objectif d’attaquer les 272 000 cibles potentielles, cela nécessitera une réelle organisation manufacturière. Du coup, sur Twitter, certains s’étonnent à juste titre pourquoi, au regard de cet effort technique considérable, la lettre du PDG soit aussi mal rédigée. Finalement, dans le monde du phishing, certaines choses ne changeront jamais.
Source: Bleeping Computer
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
