paint-brush
Atomic Stealer auf macOS verfolgen: Ausgefeilte Malware ersetzt LedgerLive-Appvon@moonlock
2,846 Lesungen
2,846 Lesungen

Atomic Stealer auf macOS verfolgen: Ausgefeilte Malware ersetzt LedgerLive-App

von Moonlock (by MacPaw)4m2024/08/24
Read on Terminal Reader

Zu lang; Lesen

Zu den neuen Taktiken von Atomic Stealer gehört das Ersetzen der legitimen LedgerLive-App durch einen bösartigen Klon, ohne dass der Benutzer dies bemerkt. Die Malware verwendet ein Phishing-Tool, um Benutzer dazu zu bringen, vertrauliche Informationen preiszugeben. Anschließend überträgt sie die Daten an den Command-and-Control-Server und sendet sie an andere Server.
featured image - Atomic Stealer auf macOS verfolgen: Ausgefeilte Malware ersetzt LedgerLive-App
Moonlock (by MacPaw) HackerNoon profile picture

Autor: Artem Chumak, Malware Research Engineer bei Moonlock by MacPaw

Einführung

In unserem Moonlock-Labor haben wir die Entwicklung des Atomic Stealer genau beobachtet. Diese Malware hat unsere Aufmerksamkeit aufgrund ihrer schnellen Entwicklung und der ausgefeilten Funktionen, die sie verwendet, erregt. Eine besondere Funktion, die wir bereits in unserem X (Twitter)-Beitrag , zeichnet sich durch seine erweiterte Fähigkeit aus, die legitime LedgerLive-App durch einen bösartigen Klon zu ersetzen. In diesem Artikel gehen wir näher auf diese Funktion und ihre Auswirkungen ein.

Überwachung und Analyse

Unser Team überwacht kontinuierlich Darknet-Foren und Telegram-Kanäle, die von Bedrohungsakteuren genutzt werden. Diese Aktivität ermöglicht es uns, über die neuesten Entwicklungen und Taktiken informiert zu bleiben, bevor sie sich unter den Benutzern verbreiten. Indem wir diese Kanäle infiltrieren, erhalten wir Echtzeiteinblicke in die neuesten Updates zu Cyberbedrohungen.


Eine der besten Informationsquellen war der Telegram-Kanal der Gruppe hinter dem AMOS-Stealer. Dieser Kanal erleichtert nicht nur den Verkauf der Schadsoftware sondern bietet auch Updates zu seiner Entwicklung und Bereitstellung. Durch die Verfolgung der Diskussionen in diesem Kanal konnten wir die Entwicklung des Atom-Dieb und seine Dynamik zu verstehen.

Abbildung 1. Zeitleiste der AMOS-Entwicklung aufgrund des Operatortelegramms

Tatsächlich geben die regelmäßigen Beiträge des Betreibers Einblicke in zukünftige Entwicklungen und Taktiken, sodass wir mögliche Änderungen vorhersehen können. Darüber hinaus erfuhren wir etwas über die Kosten der jeweiligen Version von Atomic Stealer.

Abbildung 2. Screenshot vom AMOS-Telegram-Kanal, wo der Stealer für 3.000 US-Dollar verkauft wird (Übersetzung aus dem Russischen)


Eines Tages stießen wir beim Überwachen des Telegram-Kanals des AMOS-Betreibers auf eine Anzeige, die eine neue Funktionalität hervorhob. Bei dieser neuen Funktion wird die LedgerLive-App durch einen bösartigen Klon ersetzt, ohne dass der Benutzer dies bemerkt. Darüber hinaus werden alle Benutzeraktionen mit der Anwendung – wie Öffnen, Schließen, Eingeben der Seed-Phrase und Senden der Seed-Phrase – in einem separaten Telegram-Kanal protokolliert, der vom Bot zu Überwachungszwecken erstellt wird.


Diese Funktionalität wird als einzigartiges Modul für Stammkunden mit stabilem Datenverkehr angeboten. Das Modul selbst ist kostenlos, aber die Betreiber erheben eine Gebühr von 30 % für den Restbetrag jeder gesammelten Seed-Phrase.

Abbildung 3. Werbung aus dem Telegram-Kanal des Cyberkriminellen

Infektionskette der LedgerLive App

Wir waren besonders an dieser Version von Atomic Stealer interessiert und haben sie daher erhalten und analysiert. Sie zielt in erster Linie auf die LedgerLive-App ab. LedgerLive ist eine weit verbreitete Anwendung zur Verwaltung von Kryptowährungs-Wallets und bietet Benutzern eine sichere und bequeme Möglichkeit, ihre digitalen Vermögenswerte zu verwalten. Aufgrund ihrer Popularität und des hohen Werts der von ihr verwalteten Vermögenswerte ist sie daher zu einem lukrativen Ziel für Cyberkriminelle geworden.

Abbildung 4. Die Hauptseite der Ledger Live Crypto Wallet App

Sehen wir uns den Infektionsprozess genauer an. Er beginnt normalerweise, wenn ein Benutzer ein bösartiges Installationsprogramm herunterlädt, das als CrackInstall.dmg getarnt ist. In dieser scheinbar harmlosen Datei befindet sich der Mach-O-Stealer, ein Schadprogramm, das nach dem Öffnen unbemerkt ausgeführt wird.


Angreifer stellen Opfern häufig visuelle Anweisungen zur Verfügung, um ihnen zu helfen, Gatekeeper zu umgehen. Die Anweisungen weisen Benutzer an, mit der rechten Maustaste auf die CrackInstall-Datei zu klicken und „Öffnen“ auszuwählen, um die Sicherheitsmaßnahme zu umgehen.

Abbildung 5. Irreführendes Installationsfenster von CrackInstall.dmg

Nach der Ausführung macht sich der Stealer sofort an die Arbeit und ersetzt Schlüsselkomponenten in der LedgerLive-App.

Abbildung 6. Extrahierter Inhalt aus der bösartigen Mach-o-Datei.
Konkret zielt es auf Dateien wie App.tsx, PairMyNano.tsx und ProtectDiscoverBody.tsx ab und ersetzt sie durch bösartige Versionen. Dieser Prozess erstellt effektiv einen Klon der ursprünglichen LedgerLive-App. Der bösartige Klon ist so konzipiert, dass er das Erscheinungsbild und die Funktionalität der legitimen App nachahmt, sodass es für Benutzer schwierig ist, den Kompromiss zu erkennen.

Abbildung 7. Infektionskette der LedgerLive-App

Hauptmerkmale

Phishing nach Seed-Phrasen

Ein kritisches Merkmal der infizierten LedgerLive-App ist ihre Fähigkeit, ein Phishing-Fenster anzuzeigen. In diesem Fenster werden Benutzer aufgefordert, ihre Seed-Phrasen einzugeben, eine Reihe von Wörtern, die zum Wiederherstellen von Kryptowährungs-Wallets verwendet werden. Die App zeigt eine irreführende Nachricht an, um ein falsches Sicherheitsgefühl zu erzeugen und Benutzer dazu zu ermutigen, ihre vertraulichen Informationen preiszugeben.

Phishing-Nachricht:

„Ihre geheime Phrase ist die geheime Liste von Wörtern, die Sie gesichert haben, als Sie Ihr Wallet zum ersten Mal eingerichtet haben. Ledger speichert keine Kopie Ihrer Wiederherstellungsphrase.“

Abbildung 8. Ein Ausschnitt aus dem Phishing nach Seed-Phrasen

Datenübertragung an Befehls- und Kontrollserver

Nach dem Erfassen der Seed-Phrasen entschlüsselt die Malware den Command and Control (C2)-Server und überträgt die Daten an http://159[.]65[.]193[.]64:8080/statistics. Dieser primäre Server empfängt die sensiblen Informationen, die die Angreifer dann ausnutzen können.

Abbildung 9. Ein Ausschnitt aus der Übertragung der Daten des Opfers an einen C2-Server

Zusätzlich sendet die Malware Benutzerinformationen und Ausführungsstatus an zwei weitere Server: http://77[.]221[.]151[.]29:8080/statistics_v2 und http://77[.]221[.]151[.]29:8080/statistics_v5. Dieser mehrschichtige Ansatz zur Datenexfiltration stellt sicher, dass die Angreifer umfassende Informationen über die infizierten Systeme erhalten.

Abbildung 10. Ein Ausschnitt aus der Übertragung des Ausführungsstatus an einen C2-Server.

Abschluss

Unsere Analyse des Atomic Stealer, insbesondere seiner Fähigkeit, die LedgerLive-App anzugreifen und zu ersetzen, hat seine fortschrittlichen Fähigkeiten offenbart. Der LedgerLive-Klon imitiert die echte App, sodass es für Benutzer schwierig ist, den Angriff zu erkennen. Indem die Angreifer alle Benutzerinteraktionen protokollieren, können sie vertrauliche Informationen wie Seed-Phrasen erfassen, die für den Zugriff auf Kryptowährungs-Wallets von entscheidender Bedeutung sind.


Zu Ihrem Schutz laden Sie Software immer von offiziellen Quellen herunter, klicken Sie nicht auf verdächtige Links und verwenden Sie robuste Sicherheitstools wie CleanMyMac X mit Moonlock Engine, um solche Bedrohungen zu erkennen und zu blockieren.

IoCs

Unterschied zwischen infizierter und ursprünglicher LedgerLive-App: GitHub Gist

304145c8c242644a7aa866383bdac3c169f944ea8c6656b663c223da1359fbb9

SHA256

DMGCrackInstall

0822cf5c34341d124164b1c89889dedc405034e40fd0c8a219859a2561a289ee

SHA256

Macho

5c9e197c4e7752e6a15fc9077fa41dc78ac5a737ae73a01ddb6b6fc6aadd1f1c

SHA256

Bösartige LedgerLive-App-Komponente App.tsx

8c23db010886261cb27a5fbaa45502586f4031cc60bda3a8df778d94a3335888

SHA256

Bösartige LedgerLive-App-Komponente PairMyNano.tsx

9d5bcbdc139561951256a43cc05dda3e18da99ffd200975bbf0732e90a97c710

SHA256

Bösartige LedgerLive-App-KomponenteProtectDiscoverBody.tsx

1e86fd2688e7d0086e243194504318c125a5a7c8a1ef6f42bf39bd90deba793b

SHA256

Bösartige LedgerLive-App-Komponenteapp.asar