[Debunk] Campagne de phishing au nom de Ledger

Pour ceux vivant sur une autre planète que la blockchain, il s’avère qu’un des principaux Cold Wallet (entendez par la portefeuille dé crypto-monnaie sécurisé de façon matérielle) s’est fait « piraté ». Il s’avère en fait que c’est dû à une faille de sécurité de son hébergeur (Shopify), et qu’un leak de la BDD commerciale est sortie. (cf : Article en parlant)

Après un long et paisible temps, le temps que ces génies peaufinent leur attaque, et voilà que depuis Novembre 2020, 2 vagues d’attaques successives de phishing font leurs apparitions : via SMS et email.

Technique d’attaque

Un lien dissimulé revient souvent, et voici ce que l’on y trouve :

Utilisation d’un domaine ledger-live.io
Redirection vers ledger.com (accent sur le e !!!!)

Liens des résultats

VirusTotal (url)

UrlScan (url)

VirusTotal (file)

Un petit tour sur les domaines

  • xn--lgder-6za.com (IP : 80.78.22.83) – Pologne / Finlande / Suède
  • ledger-live.io (IP : 80.82.67.190) – Seychelles
  • lėgder.com (—)

Conclusion

Après plusieurs recherches, il s’agit de hackeurs très chevronnés, qui utilisent des méthodes d’attaques étatiques et de façon très efficace et perfectionné ! Le virus est de type APT (Advanced Persistent Threat). Ne vous faites pas avoir, ne rentrez JAMAIS votre seed (24 mots de sécurité), et ne faites les mises à jour QUE depuis votre logiciel source si vous avez un doute.

Laisser un commentaire