ክሪፕቶ መሣሪያ ወይስ ዳታ ሌባ? Meme-Token-Hunter-Bot እና ክሎኖቹ ከማክሮስ ተጠቃሚዎች እንዴት እንደሚሰርቁ

ደራሲዎች ፡ Ksenia Yamburh፣ የማልዌር ምርምር መሐንዲስ በ Moonlock በ MacPaw እና Mykhailo Pazyniuk፣ የማልዌር ምርምር መሐንዲስ በ Moonlock በ MacPaw

ክፍት ምንጭ ሶፍትዌር ለፈጠራ መሰረት ቢሆንም ለብዝበዛ በር ይከፍታል። በቅርቡ የቼክማርክስ ተመራማሪዎች ያልተሸፈነ "Meme-Token-Hunter-Bot" የሚባል አጠራጣሪ የPyPI ጥቅል የማክኦኤስ ተጠቃሚዎችን ያነጣጠረ። ጥቅሉ ራሱን እንደ ክሪፕቶ ቶከን አዳኝ ቦት ሲያቀርብ፣ በጥልቀት ስንመረምር የተራቀቀ የመረጃ መስረቅ ጭነት እንዳለ አረጋግጧል።

የማክኦኤስ ተጠቃሚዎችን በመጠበቅ ላይ የምናተኩርበት Moonlock ላይ፣ ወደዚህ በጥልቀት መቆፈር እንዳለብን አውቀናል። ንብርቦቹን በምንፈታበት ጊዜ፣ ግኝታችን ወደ 10 ተጨማሪ ማከማቻዎች መራን - እያንዳንዱም ተመሳሳይ ኮድ እያጋራን፣ ከስውር ልዩነቶች ጋር። ይህ በራስ-ሰር የማሰማራት ሥራ ነበር? የተቀናጀ ዘመቻ? ምርመራው እንዴት እንደተከሰተ እነሆ።

የመጀመሪያው እይታ ከ Crypto Bot በላይ

ታሪኩ የሚጀምረው በ"Meme-Token-Hunter-Bot" ነው፣ለcrypto አድናቂዎች ሌላ መገልገያ መሳሪያ ይመስላል። የእሱ README ተጠቃሚዎች በአብዛኛዎቹ ፓይዘን ላይ በተመሰረቱ አፕሊኬሽኖች ውስጥ ዋናውን ተግባር የሚጀምር ፋይል የሆነውን main.py እንዲፈጽሙ ያዛል። መመሪያዎችን ተከትለን ወደ main.py ገብተናል፣ ብቻ ቤዝ_helper.py የሚባል የረዳት ስክሪፕት ሲጠራ አገኘነው። ይህ የረዳት ፋይል ለምርመራችን የመሠረት ድንጋይ ይሆናል።

የጥቃት ፍሰቱን ካርታ ማድረግ

Meme-Token-Hunter-Bot ጥቃቱን እንዴት እንደሚፈጽም የበለጠ ግልጽ የሆነ ግንዛቤ ለማግኘት የማልዌር ሂደትን እያንዳንዱን ደረጃ የሚያሳይ የፍሰት ገበታ ቀርጸናል፣ ከመጀመሪያው ማዋቀር ጀምሮ እስከ መረጃ ማውጣት። ይህ የእይታ ውክልና በጥቅሉ ውስጥ የተካተቱትን የኢኮዲንግ እና የድብቅ ዘዴዎችን ያሳያል፣ ይህም እንዴት እንደሚሰራ ሙሉ እይታን ይሰጣል።

የእኛ የፍሰት ገበታ በ main.py ይጀምራል ጥቅሉ በማክሮስ ላይ እየሰራ መሆኑን ካወቀ base_helper.py በሚደውለው መነሻ ነጥብ ነው።

ይህ ፋይል እንደ encoded_base_key እና encoded_licences ባሉ ተለዋዋጮች ውስጥ የተከማቸ ቤዝ64-የተመሰጠሩ ዩአርኤሎችን እና የፋይል ስሞችን ያካትታል።

እነዚህ ኢንኮድ የተደረገባቸው እሴቶች የስክሪፕቱን ትክክለኛ ዓላማ ይደብቃሉ፣ ከhttps://coinsw[.]app/basec/ ጋር የሚያገናኘውን URL በመደበቅ እና ተጨማሪ ፋይሎችን ወደ ~/tmpcode/ ማውጫ ያወርዳሉ።

ፋይሎቹ አንዴ ከወረዱ በኋላ፣ በእኛ የፍሰት ገበታ ላይ ያለው ቀጣይ እርምጃ ማልዌር MHTBot.py የሚባል ፋይል ሲያወጣ፣ ሁሉንም የሚታዩ ውፅዓት ወደ /dev/null በማዞር እንቅስቃሴዎቹን ከተጠቃሚዎች ተደብቆ እና የክትትል መሳሪያዎችን በተመሳሳይ መልኩ እንዲይዝ ያደርጋል።

MHTBot

በወራጅ ገበታ ላይ፣ MHTBot.py በጥቃቱ ውስጥ የመቀየሪያ ነጥብ ሆኖ ጎልቶ ይታያል። PyQT5ን በመጠቀም ይህ ፋይል ህጋዊ ሶፍትዌርን የሚመስል፣ የይለፍ ቃል መጠየቂያ እና የሂደት አሞሌን የሚያሳይ ግራፊክ የተጠቃሚ በይነገጽ ይፈጥራል። ይህ ማስመሰል የተነደፈው ተጠቃሚዎችን ለማረጋጋት ነው፣ በተጨባጭ ግን MHTBot.py ከበስተጀርባ ያሉ ተከታታይ ውሂብ የሚይዙ ሞጁሎችን በስውር ያነቃል።

MHTBot.py ብልህ የማምለጫ ዘዴን ይጠቀማል፡ የመጀመሪያውን የይለፍ ቃል ሙከራ “ደህንነቱ ያልተጠበቀ” በማለት ውድቅ ያደርጋል፣ ሁለተኛውን ብቻ ይቀበላል። ብዙ ማጠሪያ አከባቢዎች ማልዌሩ ሙሉ በሙሉ ከመስራቱ በፊት የሚያበቃ የአሂድ ጊዜ ስላላቸው ይህ አብሮገነብ መዘግየት የማጠሪያ ፍለጋን ለማምለጥ ያለመ ነው።

እንደ የማምለጫ ስልቱ አካል፣ Meme-Token-Hunter-Bot ዋናውን የመረጃ መስረቅ ስራውን ከመጀመሩ በፊት መዘግየትን ይጠቀማል። ይህ መዘግየት እንዲሁ በማጠሪያ አከባቢዎች እንዳይታወቅ ለማድረግ የተነደፈ ነው፣ ይህም ብዙውን ጊዜ ለራስ-ሰር ትንተና የአሂድ ጊዜ ቆይታዎች አሏቸው። ማስፈጸሚያውን በማዘግየት፣ ማልዌር እነዚህን የመጀመሪያ ፍተሻዎች ለማለፍ እና በእውነተኛ ተጠቃሚ ስርዓት ላይ ሙሉ ለሙሉ የማንቃት ዕድሉን ይጨምራል።

ከታች ያለው ቅጽበታዊ ገጽ እይታ ለዚህ መዘግየት ተጠያቂ የሆነውን የተወሰነ ኮድ ያደምቃል። የ start_one_py_main_after_delayfunction QTimer.singleShotን በመጠቀም የ7000 ሚሊሰከንዶች (7 ሰከንድ) መዘግየት ይጀምራል፣ከዚያም የ run_one_py_main ተግባር ብሎ ይጠራል። ይህ ተግባር ዋናውን የውሂብ-ስርቆት ሞጁሉን አንድ.py በተለየ ክር ያስነሳል።

የውሂብ ስርቆት

MHTBot.py መቆጣጠሪያውን ወደ one.py ሲሸጋገር የማልዌር ዋና የመረጃ መስረቅ ስራዎች ይጀምራሉ። የሚከተሉት የኮድ ቅንጥቦች አንድ.py ከተጠቃሚው ስርዓት ሚስጥራዊነት ያለው መረጃ ለመሰብሰብ እንዴት የተለያዩ ተግባራትን እና ሞጁሎችን እንደሚጠቀም ያሳያሉ። እያንዳንዱን የኮዱ ክፍል እና አላማውን እንከፋፍል።

በመጀመሪያው ቅንጣቢ ውስጥ፣ የተሰረቀ ውሂብ ጊዜያዊ ማከማቻ የተደበቀ ማውጫ በማዘጋጀት ዋና() ተግባርን እናያለን። ማልዌሩ ተጠቃሚውን ሳያስታውቅ ፋይሎችን ለማከማቸት ~/.temp/premium/ እንደ ድብቅ ማውጫ ይፈጥራል። ይህን ማውጫ ካዋቀረ በኋላ ተግባሩ ከተወሰኑ ትግበራዎች ውሂብ ለመሰብሰብ የተለያዩ የዕለት ተዕለት ተግባራትን ይጠራል።

• mediax(): የተከማቹ ማስታወሻዎችን ለማውጣት አፕል ኖትስ ላይ ያነጣጠረ ሊሆን ይችላል።

• copy_stickies() እና copy_stickies_database()፡ እነዚህ ተግባራት ከ Stickies መተግበሪያ መረጃን ይሰበስባሉ።

• backup_ssh()፡ የኤስኤስኤች ቁልፎችን ከስርዓቱ ይሰበስባል።

• copy_terminal_history(): የተርሚናል ታሪክ ፋይሎችን ይገለብጣል።

• copy_ssh_and_keychain(): ከኤስኤስኤች እና ከማክኦኤስ ኪይቼይን መረጃ ያወጣል።

  
  

እነዚህ ተግባራት ከመተግበሪያዎች፣ የተጠቃሚዎች ምስክርነቶች እና ከኤስኤስኤች ውቅሮች ብዙ መረጃዎችን ለመሰብሰብ የተሰጡ ናቸው፣ ይህም አንድ.pyን ሁሉን አቀፍ ዳታ ሰብሳቢ ያደርገዋል።

በሚቀጥለው የኮድ ቅንጣቢ የሚታየው የፍለጋ_ፋይሎች() ተግባር የተወሰኑ የፋይል አይነቶችን በማነጣጠር የመረጃ አሰባሰብ ተደራሽነትን ያሰፋዋል። ይህ ተግባር እንደ .txt፣ .csv፣ .json፣ .config እና .env ያሉ ቅጥያዎች ላሏቸው ሚስጥራዊነት ያላቸው ፋይሎችን በጋራ ማውጫዎች (ማውረዶች፣ ሰነዶች፣ ዴስክቶፕ እና የቤት ማውጫ) ይፈልጋል። እነዚህ የፋይል ዓይነቶች ብዙውን ጊዜ የማዋቀሪያ ቅንብሮችን፣ የኤፒአይ ቁልፎችን እና ሌሎች ጠቃሚ መረጃዎችን ይይዛሉ።

የተገኙት ፋይሎች ወደ ጊዜያዊ ማውጫ ይገለበጣሉ፣ ተጨምቀው እና ለማጥራት ይዘጋጃሉ። ይህ እርምጃ በተለምዶ በተጠቃሚ ማውጫዎች ወይም በፕሮጀክት ውቅር ፋይሎች ውስጥ የተከማቸ ማንኛውም ውሂብ መሰበሰቡን ያረጋግጣል።

በሚከተለው ቅንጣቢ፣ የቅጂ_ተርሚናል_ታሪክ() እና ቅጂ_ssh_and_keychain() ተግባራት ወሳኝ የተጠቃሚ ውሂብን ይይዛሉ። ማልዌር የተርሚናል ታሪክን ከ.zprofile እና .zsh_history ፋይሎች ያወጣል፣ ይህም ተጠቃሚው የተፈፀመባቸውን ትእዛዞች ሊገልጡ የሚችሉ ሲሆን በተርሚናሉ ውስጥ የተተየቡትን ማንኛውንም ሚስጥራዊነት ያለው መረጃ ወይም ምስክርነቶችን ይጨምራል።

በተጨማሪም፣ የማክኦኤስ ኪይቼይን እና የኤስኤስኤች ዳይሬክተሩ የተመሰጠሩ ምስክርነቶችን፣ የይለፍ ቃሎችን እና በሲስተሙ ውስጥ የተከማቹ ኤስኤስኤች ቁልፎችን ለመያዝ ይደርሳሉ፣ ይህም ለአጥቂዎች ከፍተኛ ዋጋ ያለው ምስክርነት ይሰጣል።

የዚህ ማልዌር በጣም ከሚታወቁት ክፍሎች አንዱ በ crypto wallets ላይ ማነጣጠሩ ነው። የዚፕ_additional_wallets() ተግባር በተለይ ከታዋቂ የክሪፕቶፕ የኪስ ቦርሳዎች ጋር የተያያዙ ማውጫዎችን ይፈልጋል። ማልዌሩ ስልታዊ በሆነ መንገድ የBitcoin፣ Electrum፣ Coinomi፣ Exodus እና ሌሎች ዋና ክሪፕቶ ቦርሳዎች የሆኑ የኪስ ቦርሳ ፋይሎችን ይፈልጋል። አንዴ ከታወቀ፣ እነዚህ የኪስ ቦርሳ ማውጫዎች ዚፕ ተጭነው በጊዜያዊው ማውጫ ውስጥ ተከማችተው ለመጥፋት ዝግጁ ናቸው።

ማልዌር ለቴሌግራም መረጃ ስርቆት ልዩ ተግባራትንም ያካትታል። የመጠባበቂያ_ቴሌግራም() እና የመጠባበቂያ_ትዳታ() ተግባራቶች የቴሌግራም ዳታ ማውጫዎችን ይፈልጋሉ፣ በመተግበሪያው ውስጥ የተከማቹ መልዕክቶችን፣ አድራሻዎችን እና ሚዲያዎችን ለመድረስ በመሞከር ላይ። እነዚህን ፋይሎች በመቅዳት ማልዌር አጥቂዎች የተጠቃሚውን የቴሌግራም ግንኙነት እና የሚዲያ ታሪክ እንደገና እንዲገነቡ ሊፈቅድላቸው ይችላል።

ፍልሰት

ሚስጥራዊነት ያለው መረጃ ከተሰበሰበ በኋላ፣ Meme-Token-Hunter-Bot ውሂቡን ወደ የርቀት አገልጋይ ለማውጣት ይቀጥላል። ይህ ማጣራት የፋይል ስም መቀየርን፣ መስቀልን እና የአጥቂውን ቴሌግራም ቦት ማሳወቅን በሚቆጣጠሩ ተከታታይ ተግባራት ይከናወናል። የሚከተሉት የኮድ ቅንጥቦች ይህ ሂደት እንዴት እንደሚካሄድ ያሳያል።

የ send_telegram_message ተግባር ቀድሞ የተዋቀረ የቴሌግራም ቦት መልእክት ይልካል፣ ለአጥቂዎች አዲስ የተሰረቁ ፋይሎች መጫኑን ያስታውቃል። ይህ ተግባር አጥቂዎቹ በእያንዳንዱ ኤክስፕሎረር ላይ ወቅታዊ ዝመናዎችን መቀበላቸውን ያረጋግጣል, ይህም የውሂብ ስርቆት ሂደቱን በቅጽበት እንዲከታተሉ ያስችላቸዋል.

ማልዌሩ መገኘቱን የበለጠ ለማድበስበስ ማልዌር የተሰረቁትን ፋይሎች በሚኔክራፍት ቅጥያ ይሰየማል—ይህ ያልተለመደ ዘዴ የተወሰኑ የፋይል አይነቶችን የሚቆጣጠሩ መሰረታዊ የአውታረ መረብ ጣልቃ-ገብ ማወቂያ ስርዓቶችን ለማለፍ ነው። አንዴ እንደገና ከተሰየመ upload_file የውሂብ ማስተላለፍን ወደ አጥቂው የርቀት አገልጋይ ይጀምራል። ፋይሉ በሁለትዮሽ ንባብ ሁነታ ተከፍቷል እና requests.post()ን በመጠቀም ወደ https://store1.gofile[.]io/፣ ይፋዊ የፋይል መጋሪያ መድረክ ይሰቀላል።

ሰቀላው ከተሳካ (በ 200 ሁኔታ ኮድ ከተጠቆመ) ተግባሩ የማውረጃውን አገናኝ ሰርስሮ ያወጣል፣ ከዚያም በቴሌግራም ወደ አጥቂው ይላካል።

11 ተጨማሪ ማከማቻዎች፡ ትልቁ ሥዕል

በምርመራችን ወቅት Meme-Token-Hunter-Bot የተገለለ ጥቅል ላይሆን እንደሚችል ጠረጠርን። የታለመ GitHubን መጠቀም ጥያቄ ('b25lLnB5' እና 'requests.get(url)')፣ ተመሳሳይ ኮድ ያላቸው 10 ተጨማሪ ማከማቻዎችን አግኝተናል። እነዚህ ማከማቻዎች በፋይል ስሞች እና በዩአይ መለያዎች ላይ መጠነኛ ማሻሻያዎችን አሳይተዋል፣ ምናልባትም በራስ ሰር የማሰማራት ስልት የመነጩ የማልዌር ቅጂዎችን ለማቆየት፣ ይህም አንድ ማከማቻ ቢጠቁም ወይም ቢወገድም መገኘቱን ያረጋግጣል።

የሚገርመው፣ Meme-Token-Hunter-Bot ለ10 ወራት ያህል ሲቆይ፣ በነሐሴ 2024 ተንኮል-አዘል ኮድ ማካተት የጀመረው ቤዝ_helper.py-የደረጃ-2 ፓይዘን መስረቅን ለማውረድ ኃላፊነት ያለው ፋይል ለመጀመሪያ ጊዜ አስተዋወቀ። የዚህ ፋይል የቅርብ ጊዜ ዝመና የተደረገው በሴፕቴምበር 28፣ 2024 ነው።

በሌላ በኩል፣ የ 11 ቱ ተጨማሪ ማከማቻዎች ተንኮል-አዘል ዝመናዎቻቸውን የተቀበሉት ከሁለት ወራት በፊት አካባቢ ሲሆን base_helper.py ሲታከል ነው። ይህ የተቀናጀ ጊዜ እንደሚያሳየው እነዚህ ማከማቻዎች በተለይ ማልዌርን ለማሰራጨት የተቋቋሙ ሲሆን ይህም በMeme-Token-Hunter-Bot ውስጥ በታዩት የመጀመሪያ ስኬት እና ዘዴዎች ላይ ነው።

ተጠቃሚዎች የMacOS የደህንነት ማስጠንቀቂያዎችን በማለፍ ለመምራት የተነደፉ የበር ጠባቂ ማለፊያ መመሪያዎችን በብዙዎቹ በእነዚህ ማከማቻዎች ውስጥ አግኝተናል። መመሪያዎቹ ደረጃ በደረጃ ምስላዊ ፎርማት ቀርበዋል ይህም ተጠቃሚዎች አፕሊኬሽኑን በቀኝ ጠቅ በማድረግ “ክፈት”ን እንዲመርጡ እና የበር ጠባቂውን ማስጠንቀቂያ እንዲያልፉ ያበረታታል።

በተጨማሪም፣ ከተለዩት 10 ተጨማሪ ማከማቻዎች መካከል፣ አንድ “ሶላና-ቦት” የሚል ስም ወጣ። ልክ እንደ Meme-Token-Hunter-Bot ተመሳሳይ ተንኮል አዘል ፍሰት ቢከተልም፣ በተለይ በፋይል ስሞች እና የተግባር አጠቃቀም ላይ ትንሽ ማሻሻያዎችን አስተውለናል። የ Solana-Bot's base_helper.py ፋይል እና የMeme-Token-Hunter-Bot የጎን ለጎን ልዩነት ትንታኔ እነዚህን ልዩነቶች አጉልቶ ያሳያል።

በሶላና-ቦት እና በMeme-Token-Hunter-Bot መካከል ያሉት ቁልፍ ልዩነቶች የዩአርኤል ለውጦችን ያካትታሉ።

 "aHR0cHM6Ly9jb2luc3cuYXBwL2Jhc2VjLw==" + "UENTQm90LnB5" = "https://coinsw.app/basec/PCSBot.py" <-- Solana-Bot "aHR0cHM6Ly9jb2luc3cuYXBwL2Jhc2VjLw==" + "TUhUQm90LnB5" = "https://coinsw.app/basec/MHTBot.py"

ማጠቃለያ

ይህ በMeme-Token-Hunter-Bot ላይ የተደረገ ምርመራ እና ተዛማጅ ተለዋዋጮቹ የማክኦኤስ ተጠቃሚዎችን ያነጣጠረ በጥንቃቄ የተቀነባበረ ዘመቻ ያሳያል። መጀመሪያ ላይ በCheckmarx ወደ ብርሃን ያመጣው ይህ የስርቆት ጥቅል መጀመሪያ ላይ እንደ ክሪፕቶ መሣሪያ ተመስለው ወደ ሰፊ ስጋት ገብቷል። የእኛ ትንታኔ 11 ተጨማሪ ማከማቻዎችን ገልጧል፣ እያንዳንዱም የዋናው ኮድ ትንሽ ልዩነቶችን ይዟል። አጥቂዎቹ እነዚህን ማከማቻዎች በፍጥነት ለማመንጨት አውቶማቲክን የተቀጠሩ ይመስላሉ፣ ጥቃቅን ማሻሻያዎችን በስም፣ በዩአይ መለያዎች እና ተግባራዊነት በመጠቀም መለየትን ለማምለጥ እና ቀጣይነት ያለው ተገኝነትን ለማረጋገጥ።

ቢሆንም፣ ለማክኦኤስ ተጠቃሚዎች፣ በተለይም በረኛ ማለፊያ መመሪያዎች ላይ ያተኮሩ የተለመዱ የማህበራዊ ምህንድስና ስልቶችንም ተመልክተናል። ይህ የሚያመለክተው አስጊ ተዋናዮች አሁንም የተጠቃሚ እምነትን በመበዝበዝ ላይ እንደሚተማመኑ ነው። በዚህ ዘመቻ ውስጥ የታዩት የላቁ ቴክኒኮች ቢኖሩም፣ ይህ በተጠቃሚዎች የታገዘ ማለፊያዎች ላይ መደገፉ ቀጣይ የተጠቃሚ ትምህርት አስፈላጊነትን ያሳያል።

ንቃት ከሁሉ የተሻለው መከላከያ ነው። እንደ Moonlock ብሎግ ያሉ መርጃዎች moonlock.com/blog የማክሮስ ተጠቃሚዎችን ስለ ወቅታዊ አደጋዎች እና ደህንነታቸውን የሚያሻሽሉባቸውን መንገዶች ጠቃሚ ግንዛቤዎችን ይስጡ።

IoCs በስብስቡ ውስጥ ይገኛሉ፡- https://www.virustotal.com/gui/collection/68e7bff75a6ceb5d3d4faabfdb0e106b6527382a2b29a17c59ec3ce7d8f4233b/iocs