Seguimiento de Atomic Stealer en macOS: malware sofisticado que reemplaza la aplicación LedgerLive

Autor: Artem Chumak, ingeniero de investigación de malware en Moonlock by MacPaw

Introducción

En nuestro Laboratorio Moonlock Hemos estado siguiendo de cerca la evolución del ladrón Atomic. Este malware ha llamado nuestra atención debido a su rápido desarrollo y las sofisticadas características que emplea. Una característica en particular, que ya destacamos en nuestro artículo X (Twitter) publicación , destaca por su capacidad avanzada de reemplazar la aplicación legítima LedgerLive con un clon malicioso. En este artículo, profundizamos en esta función y sus implicaciones.

Monitoreo y análisis

Nuestro equipo monitorea continuamente los foros de Darknet y los canales de Telegram que utilizan los actores de amenazas. Esta actividad nos permite estar informados sobre los últimos avances y tácticas antes de que se difundan entre los usuarios. Al infiltrarnos en estos canales, obtenemos información en tiempo real sobre las últimas actualizaciones en materia de amenazas cibernéticas.

Una de las grandes fuentes de información ha sido el canal de Telegram operado por el grupo detrás del ladrón AMOS. Este canal no solo facilita la venta de las criptomonedas, sino que también facilita la venta de las criptomonedas. Programa malicioso pero también proporciona actualizaciones sobre su desarrollo e implementación. Al seguir las discusiones dentro de este canal, hemos podido documentar la evolución de la Ladrón atómico y comprender su dinámica.

De hecho, las publicaciones periódicas del operador brindan información sobre desarrollos y tácticas futuros, lo que nos permite anticipar posibles cambios. Además, aprendimos sobre el costo de la versión particular de Atomic Stealer.

Un día, mientras monitoreábamos el canal de Telegram del operador AMOS, nos topamos con un anuncio que destacaba una nueva funcionalidad. Esta nueva función implica reemplazar la aplicación LedgerLive con un clon malicioso sin que el usuario se dé cuenta. Además, todas las acciones del usuario con la aplicación (como abrir, cerrar, ingresar la frase semilla y enviar la frase semilla) se registran en un canal de Telegram separado creado por el bot con fines de monitoreo.

Esta funcionalidad se ofrece como un módulo exclusivo diseñado para clientes habituales con tráfico estable. El módulo en sí es gratuito, pero los operadores cobran una tarifa del 30 % por el saldo de cada frase semilla recolectada.

Cadena de infección de la aplicación LedgerLive

Nos interesó especialmente y, por lo tanto, obtuvimos y analizamos esta versión de Atomic Stealer que se dirige principalmente a la aplicación LedgerLive. LedgerLive es una aplicación ampliamente utilizada para administrar billeteras de criptomonedas, que brinda a los usuarios una forma segura y conveniente de manejar sus activos digitales. En consecuencia, debido a su popularidad y al alto valor de los activos que administra, se ha convertido en un objetivo lucrativo para los ciberdelincuentes.

Examinemos el proceso de infección, que normalmente comienza cuando un usuario descarga un instalador malicioso camuflado en CrackInstall.dmg. Dentro de este archivo aparentemente inofensivo se encuentra el ladrón Mach-O, un programa malicioso diseñado para ejecutarse de forma silenciosa una vez abierto.

Los atacantes suelen proporcionar instrucciones visuales para ayudar a las víctimas a eludir Gatekeeper. Las instrucciones indican a los usuarios que deben hacer clic derecho en el archivo CrackInstall y seleccionar "Abrir" para eludir la medida de seguridad.

Tras la ejecución, el ladrón se pone a trabajar inmediatamente y reemplaza componentes clave en la aplicación LedgerLive.

En concreto, ataca archivos como App.tsx, PairMyNano.tsx y ProtectDiscoverBody.tsx y los reemplaza por versiones maliciosas. Este proceso crea un clon de la aplicación LedgerLive original. El clon malicioso está diseñado para imitar la apariencia y la funcionalidad de la aplicación legítima, lo que dificulta que los usuarios detecten la vulnerabilidad.

Características principales

Phishing de frases semilla

Una característica fundamental de la aplicación LedgerLive infectada es su capacidad de mostrar una ventana de phishing. Esta ventana solicita a los usuarios que ingresen sus frases iniciales, un conjunto de palabras que se utilizan para recuperar billeteras de criptomonedas. La aplicación proporciona un mensaje engañoso para crear una falsa sensación de seguridad, alentando a los usuarios a divulgar su información confidencial.

Mensaje de phishing:

“Su frase secreta es la lista secreta de palabras que respaldó cuando configuró su billetera por primera vez. Ledger no guarda una copia de su frase de recuperación”.

Transmisión de datos a servidores de comando y control

Después de capturar las frases semilla, el malware desofusca el servidor de Comando y Control (C2) y transmite los datos a http://159[.]65[.]193[.]64:8080/statistics. Este servidor principal recibe la información confidencial, que luego los atacantes pueden explotar.

Además, el malware envía información del usuario y el estado de ejecución a otros dos servidores: http://77[.]221[.]151[.]29:8080/statistics_v2 y http://77[.]221[.]151[.]29:8080/statistics_v5. Este enfoque de múltiples capas para la exfiltración de datos garantiza que los atacantes reciban información completa sobre los sistemas infectados.

Conclusión

Nuestro análisis de Atomic Stealer, en particular su capacidad para atacar y reemplazar la aplicación LedgerLive, ha revelado sus capacidades avanzadas. El clon de LedgerLive imita la aplicación real, lo que dificulta que los usuarios detecten la vulnerabilidad. Al registrar todas las interacciones de los usuarios, los atacantes pueden capturar información confidencial, como frases clave, que son cruciales para acceder a las billeteras de criptomonedas.

Para protegerse, descargue siempre software de fuentes oficiales, evite hacer clic en enlaces sospechosos y utilice herramientas de seguridad sólidas como CleanMyMac X con Moonlock Engine para detectar y bloquear dichas amenazas.

IoC

Diferencias entre la aplicación LedgerLive infectada y la original: Gist de GitHub