Artem Chumak, ingeniero de investigación de malware en Moonlock by MacPaw Autor: Introducción En nuestro Hemos estado siguiendo de cerca la evolución del ladrón Atomic. Este malware ha llamado nuestra atención debido a su rápido desarrollo y las sofisticadas características que emplea. Una característica en particular, que ya destacamos en nuestro artículo , destaca por su capacidad avanzada de reemplazar la aplicación legítima LedgerLive con un clon malicioso. En este artículo, profundizamos en esta función y sus implicaciones. Laboratorio Moonlock X (Twitter) publicación Monitoreo y análisis Nuestro equipo monitorea continuamente los foros de Darknet y los canales de Telegram que utilizan los actores de amenazas. Esta actividad nos permite estar informados sobre los últimos avances y tácticas antes de que se difundan entre los usuarios. Al infiltrarnos en estos canales, obtenemos información en tiempo real sobre las últimas actualizaciones en materia de amenazas cibernéticas. Una de las grandes fuentes de información ha sido el canal de Telegram operado por el grupo detrás del ladrón AMOS. Este canal no solo facilita la venta de las criptomonedas, sino que también facilita la venta de las criptomonedas. pero también proporciona actualizaciones sobre su desarrollo e implementación. Al seguir las discusiones dentro de este canal, hemos podido documentar la evolución de la y comprender su dinámica. Programa malicioso Ladrón atómico De hecho, las publicaciones periódicas del operador brindan información sobre desarrollos y tácticas futuros, lo que nos permite anticipar posibles cambios. Además, aprendimos sobre el costo de la versión particular de Atomic Stealer. Un día, mientras monitoreábamos el canal de Telegram del operador AMOS, nos topamos con un anuncio que destacaba una nueva funcionalidad. Esta nueva función implica reemplazar la aplicación LedgerLive con un clon malicioso sin que el usuario se dé cuenta. Además, todas las acciones del usuario con la aplicación (como abrir, cerrar, ingresar la frase semilla y enviar la frase semilla) se registran en un canal de Telegram separado creado por el bot con fines de monitoreo. Esta funcionalidad se ofrece como un módulo exclusivo diseñado para clientes habituales con tráfico estable. El módulo en sí es gratuito, pero los operadores cobran una tarifa del 30 % por el saldo de cada frase semilla recolectada. Cadena de infección de la aplicación LedgerLive Nos interesó especialmente y, por lo tanto, obtuvimos y analizamos esta versión de Atomic Stealer que se dirige principalmente a la aplicación LedgerLive. LedgerLive es una aplicación ampliamente utilizada para administrar billeteras de criptomonedas, que brinda a los usuarios una forma segura y conveniente de manejar sus activos digitales. En consecuencia, debido a su popularidad y al alto valor de los activos que administra, se ha convertido en un objetivo lucrativo para los ciberdelincuentes. Examinemos el proceso de infección, que normalmente comienza cuando un usuario descarga un instalador malicioso camuflado en CrackInstall.dmg. Dentro de este archivo aparentemente inofensivo se encuentra el ladrón Mach-O, un programa malicioso diseñado para ejecutarse de forma silenciosa una vez abierto. Los atacantes suelen proporcionar instrucciones visuales para ayudar a las víctimas a eludir Gatekeeper. Las instrucciones indican a los usuarios que deben hacer clic derecho en el archivo CrackInstall y seleccionar "Abrir" para eludir la medida de seguridad. Tras la ejecución, el ladrón se pone a trabajar inmediatamente y reemplaza componentes clave en la aplicación LedgerLive. En concreto, ataca archivos como App.tsx, PairMyNano.tsx y ProtectDiscoverBody.tsx y los reemplaza por versiones maliciosas. Este proceso crea un clon de la aplicación LedgerLive original. El clon malicioso está diseñado para imitar la apariencia y la funcionalidad de la aplicación legítima, lo que dificulta que los usuarios detecten la vulnerabilidad. Características principales Phishing de frases semilla Una característica fundamental de la aplicación LedgerLive infectada es su capacidad de mostrar una ventana de phishing. Esta ventana solicita a los usuarios que ingresen sus frases iniciales, un conjunto de palabras que se utilizan para recuperar billeteras de criptomonedas. La aplicación proporciona un mensaje engañoso para crear una falsa sensación de seguridad, alentando a los usuarios a divulgar su información confidencial. Mensaje de phishing: “Su frase secreta es la lista secreta de palabras que respaldó cuando configuró su billetera por primera vez. Ledger no guarda una copia de su frase de recuperación”. Transmisión de datos a servidores de comando y control Después de capturar las frases semilla, el malware desofusca el servidor de Comando y Control (C2) y transmite los datos a http://159[.]65[.]193[.]64:8080/statistics. Este servidor principal recibe la información confidencial, que luego los atacantes pueden explotar. Además, el malware envía información del usuario y el estado de ejecución a otros dos servidores: http://77[.]221[.]151[.]29:8080/statistics_v2 y http://77[.]221[.]151[.]29:8080/statistics_v5. Este enfoque de múltiples capas para la exfiltración de datos garantiza que los atacantes reciban información completa sobre los sistemas infectados. Conclusión Nuestro análisis de Atomic Stealer, en particular su capacidad para atacar y reemplazar la aplicación LedgerLive, ha revelado sus capacidades avanzadas. El clon de LedgerLive imita la aplicación real, lo que dificulta que los usuarios detecten la vulnerabilidad. Al registrar todas las interacciones de los usuarios, los atacantes pueden capturar información confidencial, como frases clave, que son cruciales para acceder a las billeteras de criptomonedas. Para protegerse, descargue siempre software de fuentes oficiales, evite hacer clic en enlaces sospechosos y utilice herramientas de seguridad sólidas como CleanMyMac X con para detectar y bloquear dichas amenazas. Moonlock Engine IoC Diferencias entre la aplicación LedgerLive infectada y la original: Gist de GitHub 304145c8c242644a7aa866383bdac3c169f944ea8c6656b663c223da1359fbb9 SHA256 Instalación de DMGCrack 0822cf5c34341d124164b1c89889dedc405034e40fd0c8a219859a2561a289ee SHA256 Macho 5c9e197c4e7752e6a15fc9077fa41dc78ac5a737ae73a01ddb6b6fc6aadd1f1c SHA256 Componente malicioso de la aplicación LedgerLive App.tsx 8c23db010886261cb27a5fbaa45502586f4031cc60bda3a8df778d94a3335888 SHA256 Componente malicioso de la aplicación LedgerLive PairMyNano.tsx 9d5bcbdc139561951256a43cc05dda3e18da99ffd200975bbf0732e90a97c710 SHA256 Componente de aplicación LedgerLive malicioso ProtectDiscoverBody.tsx 1e86fd2688e7d0086e243194504318c125a5a7c8a1ef6f42bf39bd90deba793b SHA256 Componente malicioso de la aplicación LedgerLiveapp.asar
