Atomic Stealer auf macOS verfolgen: Ausgefeilte Malware ersetzt LedgerLive-App

Autor: Artem Chumak, Malware Research Engineer bei Moonlock by MacPaw

Einführung

In unserem Moonlock-Labor haben wir die Entwicklung des Atomic Stealer genau beobachtet. Diese Malware hat unsere Aufmerksamkeit aufgrund ihrer schnellen Entwicklung und der ausgefeilten Funktionen, die sie verwendet, erregt. Eine besondere Funktion, die wir bereits in unserem X (Twitter)-Beitrag , zeichnet sich durch seine erweiterte Fähigkeit aus, die legitime LedgerLive-App durch einen bösartigen Klon zu ersetzen. In diesem Artikel gehen wir näher auf diese Funktion und ihre Auswirkungen ein.

Überwachung und Analyse

Unser Team überwacht kontinuierlich Darknet-Foren und Telegram-Kanäle, die von Bedrohungsakteuren genutzt werden. Diese Aktivität ermöglicht es uns, über die neuesten Entwicklungen und Taktiken informiert zu bleiben, bevor sie sich unter den Benutzern verbreiten. Indem wir diese Kanäle infiltrieren, erhalten wir Echtzeiteinblicke in die neuesten Updates zu Cyberbedrohungen.

Eine der besten Informationsquellen war der Telegram-Kanal der Gruppe hinter dem AMOS-Stealer. Dieser Kanal erleichtert nicht nur den Verkauf der Schadsoftware sondern bietet auch Updates zu seiner Entwicklung und Bereitstellung. Durch die Verfolgung der Diskussionen in diesem Kanal konnten wir die Entwicklung des Atom-Dieb und seine Dynamik zu verstehen.

Tatsächlich geben die regelmäßigen Beiträge des Betreibers Einblicke in zukünftige Entwicklungen und Taktiken, sodass wir mögliche Änderungen vorhersehen können. Darüber hinaus erfuhren wir etwas über die Kosten der jeweiligen Version von Atomic Stealer.

Eines Tages stießen wir beim Überwachen des Telegram-Kanals des AMOS-Betreibers auf eine Anzeige, die eine neue Funktionalität hervorhob. Bei dieser neuen Funktion wird die LedgerLive-App durch einen bösartigen Klon ersetzt, ohne dass der Benutzer dies bemerkt. Darüber hinaus werden alle Benutzeraktionen mit der Anwendung – wie Öffnen, Schließen, Eingeben der Seed-Phrase und Senden der Seed-Phrase – in einem separaten Telegram-Kanal protokolliert, der vom Bot zu Überwachungszwecken erstellt wird.

Diese Funktionalität wird als einzigartiges Modul für Stammkunden mit stabilem Datenverkehr angeboten. Das Modul selbst ist kostenlos, aber die Betreiber erheben eine Gebühr von 30 % für den Restbetrag jeder gesammelten Seed-Phrase.

Infektionskette der LedgerLive App

Wir waren besonders an dieser Version von Atomic Stealer interessiert und haben sie daher erhalten und analysiert. Sie zielt in erster Linie auf die LedgerLive-App ab. LedgerLive ist eine weit verbreitete Anwendung zur Verwaltung von Kryptowährungs-Wallets und bietet Benutzern eine sichere und bequeme Möglichkeit, ihre digitalen Vermögenswerte zu verwalten. Aufgrund ihrer Popularität und des hohen Werts der von ihr verwalteten Vermögenswerte ist sie daher zu einem lukrativen Ziel für Cyberkriminelle geworden.

Sehen wir uns den Infektionsprozess genauer an. Er beginnt normalerweise, wenn ein Benutzer ein bösartiges Installationsprogramm herunterlädt, das als CrackInstall.dmg getarnt ist. In dieser scheinbar harmlosen Datei befindet sich der Mach-O-Stealer, ein Schadprogramm, das nach dem Öffnen unbemerkt ausgeführt wird.

Angreifer stellen Opfern häufig visuelle Anweisungen zur Verfügung, um ihnen zu helfen, Gatekeeper zu umgehen. Die Anweisungen weisen Benutzer an, mit der rechten Maustaste auf die CrackInstall-Datei zu klicken und „Öffnen“ auszuwählen, um die Sicherheitsmaßnahme zu umgehen.

Nach der Ausführung macht sich der Stealer sofort an die Arbeit und ersetzt Schlüsselkomponenten in der LedgerLive-App.

Konkret zielt es auf Dateien wie App.tsx, PairMyNano.tsx und ProtectDiscoverBody.tsx ab und ersetzt sie durch bösartige Versionen. Dieser Prozess erstellt effektiv einen Klon der ursprünglichen LedgerLive-App. Der bösartige Klon ist so konzipiert, dass er das Erscheinungsbild und die Funktionalität der legitimen App nachahmt, sodass es für Benutzer schwierig ist, den Kompromiss zu erkennen.

Hauptmerkmale

Phishing nach Seed-Phrasen

Ein kritisches Merkmal der infizierten LedgerLive-App ist ihre Fähigkeit, ein Phishing-Fenster anzuzeigen. In diesem Fenster werden Benutzer aufgefordert, ihre Seed-Phrasen einzugeben, eine Reihe von Wörtern, die zum Wiederherstellen von Kryptowährungs-Wallets verwendet werden. Die App zeigt eine irreführende Nachricht an, um ein falsches Sicherheitsgefühl zu erzeugen und Benutzer dazu zu ermutigen, ihre vertraulichen Informationen preiszugeben.

Phishing-Nachricht:

„Ihre geheime Phrase ist die geheime Liste von Wörtern, die Sie gesichert haben, als Sie Ihr Wallet zum ersten Mal eingerichtet haben. Ledger speichert keine Kopie Ihrer Wiederherstellungsphrase.“

Datenübertragung an Befehls- und Kontrollserver

Nach dem Erfassen der Seed-Phrasen entschlüsselt die Malware den Command and Control (C2)-Server und überträgt die Daten an http://159[.]65[.]193[.]64:8080/statistics. Dieser primäre Server empfängt die sensiblen Informationen, die die Angreifer dann ausnutzen können.

Zusätzlich sendet die Malware Benutzerinformationen und Ausführungsstatus an zwei weitere Server: http://77[.]221[.]151[.]29:8080/statistics_v2 und http://77[.]221[.]151[.]29:8080/statistics_v5. Dieser mehrschichtige Ansatz zur Datenexfiltration stellt sicher, dass die Angreifer umfassende Informationen über die infizierten Systeme erhalten.

Abschluss

Unsere Analyse des Atomic Stealer, insbesondere seiner Fähigkeit, die LedgerLive-App anzugreifen und zu ersetzen, hat seine fortschrittlichen Fähigkeiten offenbart. Der LedgerLive-Klon imitiert die echte App, sodass es für Benutzer schwierig ist, den Angriff zu erkennen. Indem die Angreifer alle Benutzerinteraktionen protokollieren, können sie vertrauliche Informationen wie Seed-Phrasen erfassen, die für den Zugriff auf Kryptowährungs-Wallets von entscheidender Bedeutung sind.

Zu Ihrem Schutz laden Sie Software immer von offiziellen Quellen herunter, klicken Sie nicht auf verdächtige Links und verwenden Sie robuste Sicherheitstools wie CleanMyMac X mit Moonlock Engine, um solche Bedrohungen zu erkennen und zu blockieren.

IoCs

Unterschied zwischen infizierter und ursprünglicher LedgerLive-App: GitHub Gist