Le conseguenze della grande fuga di dati di Ledger continuano a farsi sentire. Un utente del forum r/LedgerWallet su Reddit, conosciuto come u/jjrand e che sostiene di essere una delle vittime dell'incidente, ha pubblicato immagini di ciò che sembra essere un finto wallet Ledger Nano X ricevuto per posta.

Avvolto in un imballaggio apparentemente autentico, il dispositivo presenta tuttavia diversi segni rivelatori che hanno suscitato il sospetto dell’utente. Il più evidente, il pacchetto è stato spedito insieme a una lettera scritta male con la presunta firma del CEO di Ledger, Pascal Gauthier, che spiega al destinatario:

“Per motivi di sicurezza, ti abbiamo spedito un nuovo dispositivo che dovrai usare per restare al sicuro. C’è un manuale all’interno della nuova confezione che puoi leggere per capire come configurare il tuo nuovo dispositivo. Per questo motivo, abbiamo cambiato la struttura del nostro dispositivo. Possiamo ora garantire che simili incidenti non accadano mai più.”
Pacchetto contenente un presunto dispositivo Ledger fraudolento, ricevuto dall’utente u/jjrand
Pacchetto contenente un presunto dispositivo Ledger fraudolento, ricevuto dall’utente u/jjrand. Fonte: Reddit
Lettera fraudolenta presumibilmente scritta e firmata dal CEO di Ledger, Pascal Gauthier
Lettera fraudolenta presumibilmente scritta e firmata dal CEO di Ledger, Pascal Gauthier. Fonte: Reddit

Oltre alla lettera, u/jirand ha ricevuto anche un manuale fasullo, contenente istruzioni su come usare il dispositivo e, cosa più importante, la richiesta di inserire la frase di recupero privata per collegare il proprio wallet crypto al nuovo dispositivo. Dopo aver esaminato le immagini che mostrano il circuito del dispositivo caricate su Reddit, il ricercatore di sicurezza Mike Grover ha spiegato a BleepingComputer che il dispositivo è stato manomesso:

“Sembra essere una semplice chiavetta USB attaccata al Ledger con l’obiettivo di trasferire qualche sorta di malware. Tutte le componenti sono sull’altro lato, quindi non posso confermare se si tratta SOLO di un dispositivo di archiviazione, ma giudicando dal lavoro di saldatura da principiante è probabilmente una comune chiavetta rimossa dal suo rivestimento.”

Grover ha evidenziato una sezione del retro del dispositivo, mostrando l’impianto della chiavetta USB e segnalando che “questi 4 cavi si agganciano alle stesse connessioni per la porta USB del Ledger.

Retro del dispositivo Ledger finto
Retro del dispositivo Ledger finto. Fonte: Reddit, con sezione evidenziata aggiunta da Mike Grover
Retro di un dispositivo Ledger autentico
Retro di un dispositivo Ledger autentico. Fonte: BleepingComputer

Stando all’analisi di Grover e di BleepingComputer, sembra che l’obiettivo del dispositivo compromesso sia intercettare la frase di recupero inserita dall’utente per poi reindirizzarla ai truffatori, che in seguito potranno usarla per rubare le crypto associate.

In un post pubblicato il 10 maggio ma non citato da u/jjrand, Ledger aveva già messo in guardia i clienti dalla finta lettera e dispositivo, affermando che:

“La finta guida nella confezione del Nano chiede all’utente di connettere il dispositivo a un computer. Per inizializzare il dispositivo, all’utente viene chiesto di inserire le sue 24 parole in un’applicazione Ledger Live finta. Questa è una truffa. Non connettere il dispositivo al tuo computer e non condividere mai le tue 24 parole. Ledger non ti chiederà mai di condividere la tua frase di recupero da 24 parole.”

Come segnalato in precedenza, altre conseguenze della fuga di dati hanno visto gli utenti di Ledger ricevere email da ricattatori che minacciavano violenza fisica o altri attacchi criminali. La fuga di dati originale è avvenuta tra giugno e luglio 2020 e ha colpito 1.075.382 indirizzi e-mail appartenenti ad utenti iscritti alla newsletter dell'azienda. Inoltre, ha coinvolto la fuga di informazioni personali (inclusi indirizzi di residenza) associate a 272.853 ordini di hardware wallet.