|
변경된 Ledger 기기로 암호화폐 탈취하는 사기 침해사고분석팀 2021.06.18 |
|
|
최근 발생한 데이터 유출에 노출된 Ledger 고객에게 가짜 장치를 보내 암호화폐 지갑을 훔치는 사기가 발생하고 있다.
암호화폐 가격과 안전한 암호화폐 투자를 위한 하드웨어 지갑의 인기가 높아지면서 Ledger가 스캠 사기의 타겟으로 자주 사용된다. Reddit 게시물에서 Ledger 사용자가 Ledger Nano X 장치처럼 생긴 것을 배송받은 후 사기 당한 내용을 공유했다. 해당 사기는 RaidForum 해킹 포럼에 온라인으로 유출된 고객 정보를 악용한 것으로 보인다. 그림1, 그림2와 같이 가짜 장치는 실제 Ledger 장치처럼 보이도록 포장되어 배달되었고, 고객은 기존 장치를 가짜 장치로 대체해야 한다는 설명의 편지를 함께 받았다.
[ 그림1. 가짜 Ledger 장치 패키지와 편지 ]
[ 그림2. 포장된 가짜 Ledger 기기 ]
가짜 편지에는 “보안 목적으로 안전하게 사용할 수 있도록 대체해야 하는 새로운 장치를 보냈습니다. 박스에는 새 장치를 셋업하는 방법이 적힌 메뉴얼이 있습니다.”와 같은 내용이 포함되어 있다.
Reddit에는 가짜 Ledger 회로 기판 이미지도 공유되었다. 그림3과 그림4는 각각 가짜 Ledger 하드웨어 지갑의 회로기판과 실제 Ledger 하드웨어 지갑의 회로기판이다.
[ 그림3. 가짜 Leger 하드웨어 지갑 앞면 ]
[ 그림4. 실제 Leger 하드웨어 지갑 앞면 ]
보안 연구원과 USB 케이블/임플란트 전문가는 Mike Grover(_MG_)는 Bleeping Computer에 공격자가 플래시 드라이브를 추가하고 추가한 드라이브를 USB 커넥터에 연결했다고 말했다. 또한, Grover는 “악성코드를 전달하는 목적으로 단순히 플래시 드라이브를 Ledger에 연결한 것으로 보인다. 모든 구성요소가 반대편에 있어서 단순히 저장장치인지 아닌지 확신할 수 없지만 초보적인 납땜작업을 봤을 때, 미니 플래시 드라이브로 볼 수 있을 것 같다.” 라고 말했다.
아래 그림5와 그림6에서 Grover는 와이어에 연결된 플래시 드라이브 임플란트를 강조 표시했다. 그는 "가짜 Ledger 하드웨어 지갑 뒷면에서 4개의 와이어는 Ledger의 USB 포트에 대해 동일한 연결을 피기백한다."라는 것을 강조했다.
[ 그림5. 가짜 Ledger 하드웨어 지갑의 뒷면 ]
[그림6. 실제 Ledger 하드웨어 지갑의 뒷면 ]
동봉된 가짜 장치 설명서에는 Leder를 컴퓨터에 연결하고 드라이브를 연 후, 애플리케이션을 실행하라고 설명되어 있다. 이후 설명서에 새 장치에 지갑을 가져오기 위해 복구 구문(recovery phrase)를 입력하라고 명시되어 있다.
복구 구문은 사람이 읽을 수 있는 시드로 지갑의 private key를 생성할 때 사용된다. 복구 구문을 알고있는 사람은 대응하는 지갑을 가져올 수 있고, 지갑에 있는 암호화폐에 접근할 수 있다. 복구 구문을 입력하면 해당 복구 구문이 공격자에게 전송된다. 공격자는 복구 구문을 이용해 사용자의 지갑의 자신의 장치로 가져와 암호화폐를 훔친다.
Ledger는 해당 사기에 대한 사항을 알고있고, 지난 5월 관련 경고를 게시했다.
출처 |
