Artem Chumak, Malware Research Engineer bei Moonlock by MacPaw Autor: Einführung In unserem haben wir die Entwicklung des Atomic Stealer genau beobachtet. Diese Malware hat unsere Aufmerksamkeit aufgrund ihrer schnellen Entwicklung und der ausgefeilten Funktionen, die sie verwendet, erregt. Eine besondere Funktion, die wir bereits in unserem , zeichnet sich durch seine erweiterte Fähigkeit aus, die legitime LedgerLive-App durch einen bösartigen Klon zu ersetzen. In diesem Artikel gehen wir näher auf diese Funktion und ihre Auswirkungen ein. Moonlock-Labor X (Twitter)-Beitrag Überwachung und Analyse Unser Team überwacht kontinuierlich Darknet-Foren und Telegram-Kanäle, die von Bedrohungsakteuren genutzt werden. Diese Aktivität ermöglicht es uns, über die neuesten Entwicklungen und Taktiken informiert zu bleiben, bevor sie sich unter den Benutzern verbreiten. Indem wir diese Kanäle infiltrieren, erhalten wir Echtzeiteinblicke in die neuesten Updates zu Cyberbedrohungen. Eine der besten Informationsquellen war der Telegram-Kanal der Gruppe hinter dem AMOS-Stealer. Dieser Kanal erleichtert nicht nur den Verkauf der sondern bietet auch Updates zu seiner Entwicklung und Bereitstellung. Durch die Verfolgung der Diskussionen in diesem Kanal konnten wir die Entwicklung des und seine Dynamik zu verstehen. Schadsoftware Atom-Dieb Tatsächlich geben die regelmäßigen Beiträge des Betreibers Einblicke in zukünftige Entwicklungen und Taktiken, sodass wir mögliche Änderungen vorhersehen können. Darüber hinaus erfuhren wir etwas über die Kosten der jeweiligen Version von Atomic Stealer. Eines Tages stießen wir beim Überwachen des Telegram-Kanals des AMOS-Betreibers auf eine Anzeige, die eine neue Funktionalität hervorhob. Bei dieser neuen Funktion wird die LedgerLive-App durch einen bösartigen Klon ersetzt, ohne dass der Benutzer dies bemerkt. Darüber hinaus werden alle Benutzeraktionen mit der Anwendung – wie Öffnen, Schließen, Eingeben der Seed-Phrase und Senden der Seed-Phrase – in einem separaten Telegram-Kanal protokolliert, der vom Bot zu Überwachungszwecken erstellt wird. Diese Funktionalität wird als einzigartiges Modul für Stammkunden mit stabilem Datenverkehr angeboten. Das Modul selbst ist kostenlos, aber die Betreiber erheben eine Gebühr von 30 % für den Restbetrag jeder gesammelten Seed-Phrase. Infektionskette der LedgerLive App Wir waren besonders an dieser Version von Atomic Stealer interessiert und haben sie daher erhalten und analysiert. Sie zielt in erster Linie auf die LedgerLive-App ab. LedgerLive ist eine weit verbreitete Anwendung zur Verwaltung von Kryptowährungs-Wallets und bietet Benutzern eine sichere und bequeme Möglichkeit, ihre digitalen Vermögenswerte zu verwalten. Aufgrund ihrer Popularität und des hohen Werts der von ihr verwalteten Vermögenswerte ist sie daher zu einem lukrativen Ziel für Cyberkriminelle geworden. Sehen wir uns den Infektionsprozess genauer an. Er beginnt normalerweise, wenn ein Benutzer ein bösartiges Installationsprogramm herunterlädt, das als CrackInstall.dmg getarnt ist. In dieser scheinbar harmlosen Datei befindet sich der Mach-O-Stealer, ein Schadprogramm, das nach dem Öffnen unbemerkt ausgeführt wird. Angreifer stellen Opfern häufig visuelle Anweisungen zur Verfügung, um ihnen zu helfen, Gatekeeper zu umgehen. Die Anweisungen weisen Benutzer an, mit der rechten Maustaste auf die CrackInstall-Datei zu klicken und „Öffnen“ auszuwählen, um die Sicherheitsmaßnahme zu umgehen. Nach der Ausführung macht sich der Stealer sofort an die Arbeit und ersetzt Schlüsselkomponenten in der LedgerLive-App. Konkret zielt es auf Dateien wie App.tsx, PairMyNano.tsx und ProtectDiscoverBody.tsx ab und ersetzt sie durch bösartige Versionen. Dieser Prozess erstellt effektiv einen Klon der ursprünglichen LedgerLive-App. Der bösartige Klon ist so konzipiert, dass er das Erscheinungsbild und die Funktionalität der legitimen App nachahmt, sodass es für Benutzer schwierig ist, den Kompromiss zu erkennen. Hauptmerkmale Phishing nach Seed-Phrasen Ein kritisches Merkmal der infizierten LedgerLive-App ist ihre Fähigkeit, ein Phishing-Fenster anzuzeigen. In diesem Fenster werden Benutzer aufgefordert, ihre Seed-Phrasen einzugeben, eine Reihe von Wörtern, die zum Wiederherstellen von Kryptowährungs-Wallets verwendet werden. Die App zeigt eine irreführende Nachricht an, um ein falsches Sicherheitsgefühl zu erzeugen und Benutzer dazu zu ermutigen, ihre vertraulichen Informationen preiszugeben. Phishing-Nachricht: „Ihre geheime Phrase ist die geheime Liste von Wörtern, die Sie gesichert haben, als Sie Ihr Wallet zum ersten Mal eingerichtet haben. Ledger speichert keine Kopie Ihrer Wiederherstellungsphrase.“ Datenübertragung an Befehls- und Kontrollserver Nach dem Erfassen der Seed-Phrasen entschlüsselt die Malware den Command and Control (C2)-Server und überträgt die Daten an http://159[.]65[.]193[.]64:8080/statistics. Dieser primäre Server empfängt die sensiblen Informationen, die die Angreifer dann ausnutzen können. Zusätzlich sendet die Malware Benutzerinformationen und Ausführungsstatus an zwei weitere Server: http://77[.]221[.]151[.]29:8080/statistics_v2 und http://77[.]221[.]151[.]29:8080/statistics_v5. Dieser mehrschichtige Ansatz zur Datenexfiltration stellt sicher, dass die Angreifer umfassende Informationen über die infizierten Systeme erhalten. Abschluss Unsere Analyse des Atomic Stealer, insbesondere seiner Fähigkeit, die LedgerLive-App anzugreifen und zu ersetzen, hat seine fortschrittlichen Fähigkeiten offenbart. Der LedgerLive-Klon imitiert die echte App, sodass es für Benutzer schwierig ist, den Angriff zu erkennen. Indem die Angreifer alle Benutzerinteraktionen protokollieren, können sie vertrauliche Informationen wie Seed-Phrasen erfassen, die für den Zugriff auf Kryptowährungs-Wallets von entscheidender Bedeutung sind. Zu Ihrem Schutz laden Sie Software immer von offiziellen Quellen herunter, klicken Sie nicht auf verdächtige Links und verwenden Sie robuste Sicherheitstools wie CleanMyMac X mit um solche Bedrohungen zu erkennen und zu blockieren. Moonlock Engine, IoCs Unterschied zwischen infizierter und ursprünglicher LedgerLive-App: GitHub Gist 304145c8c242644a7aa866383bdac3c169f944ea8c6656b663c223da1359fbb9 SHA256 DMGCrackInstall 0822cf5c34341d124164b1c89889dedc405034e40fd0c8a219859a2561a289ee SHA256 Macho 5c9e197c4e7752e6a15fc9077fa41dc78ac5a737ae73a01ddb6b6fc6aadd1f1c SHA256 Bösartige LedgerLive-App-Komponente App.tsx 8c23db010886261cb27a5fbaa45502586f4031cc60bda3a8df778d94a3335888 SHA256 Bösartige LedgerLive-App-Komponente PairMyNano.tsx 9d5bcbdc139561951256a43cc05dda3e18da99ffd200975bbf0732e90a97c710 SHA256 Bösartige LedgerLive-App-KomponenteProtectDiscoverBody.tsx 1e86fd2688e7d0086e243194504318c125a5a7c8a1ef6f42bf39bd90deba793b SHA256 Bösartige LedgerLive-App-Komponenteapp.asar
