346 lectures

Suivi d'Atomic Stealer sur macOS : un malware sophistiqué remplace l'application LedgerLive

par Moonlock (by MacPaw)4m2024/08/24

Trop long; Pour lire

La nouvelle tactique d'Atomic Stealer consiste à remplacer l'application légitime LedgerLive par un clone malveillant sans que l'utilisateur ne s'en aperçoive. Le malware utilise un outil de phishing pour inciter les utilisateurs à divulguer des informations sensibles. Il transmet ensuite les données au serveur Command and Control et les envoie à d'autres serveurs.

featured image - Suivi d'Atomic Stealer sur macOS : un malware sophistiqué remplace l'application LedgerLive

Auteur : Artem Chumak, ingénieur de recherche sur les logiciels malveillants chez Moonlock by MacPaw

Introduction

Dans notre Laboratoire Moonlock , nous avons suivi de près l'évolution du voleur Atomic. Ce malware a retenu notre attention en raison de son développement rapide et des fonctionnalités sophistiquées qu'il utilise. Une fonctionnalité particulière, que nous avons précédemment mise en évidence dans notre Publication X (Twitter) , se distingue par sa capacité avancée à remplacer l'application légitime LedgerLive par un clone malveillant. Dans cet article, nous approfondissons cette fonctionnalité et ses implications.

Suivi et analyse

Notre équipe surveille en permanence les forums Darknet et les canaux Telegram utilisés par les acteurs malveillants. Cette activité nous permet de rester informés des derniers développements et tactiques avant qu'ils ne se propagent parmi les utilisateurs. En infiltrant ces canaux, nous obtenons des informations en temps réel sur les dernières mises à jour des cybermenaces.

L'une des principales sources d'information a été le canal Telegram exploité par le groupe à l'origine du voleur d'AMOS. Ce canal facilite non seulement la vente des logiciel malveillant mais fournit également des mises à jour sur son développement et son déploiement. En suivant les discussions au sein de ce canal, nous avons pu documenter l'évolution du Voleur d'atomes et comprendre sa dynamique.

En fait, les publications régulières de l'opérateur donnent un aperçu des développements et des tactiques à venir, nous permettant d'anticiper les changements potentiels. De plus, nous avons appris le coût de la version particulière d'Atomic Stealer.

Un jour, alors que nous surveillions le canal Telegram de l'opérateur AMOS, nous sommes tombés sur une publicité mettant en avant une nouvelle fonctionnalité. Cette nouvelle fonctionnalité consiste à remplacer l'application LedgerLive par un clone malveillant sans que l'utilisateur ne s'en aperçoive. De plus, toutes les actions de l'utilisateur avec l'application - telles que l'ouverture, la fermeture, la saisie de la phrase de départ et l'envoi de la phrase de départ - sont enregistrées dans un canal Telegram distinct créé par le bot à des fins de surveillance.

Cette fonctionnalité est proposée sous la forme d'un module unique conçu pour les clients réguliers avec un trafic stable. Le module lui-même est gratuit, mais les opérateurs facturent des frais de 30 % pour le solde de chaque phrase de départ collectée.

Chaîne d'infection de l'application LedgerLive

Nous nous sommes particulièrement intéressés à cette version d'Atomic Stealer, qui cible principalement l'application LedgerLive. LedgerLive est une application largement utilisée pour gérer les portefeuilles de crypto-monnaies, offrant aux utilisateurs un moyen sûr et pratique de gérer leurs actifs numériques. Par conséquent, en raison de sa popularité et de la valeur élevée des actifs qu'elle gère, elle est devenue une cible lucrative pour les cybercriminels.

Examinons le processus d'infection, qui commence généralement lorsqu'un utilisateur télécharge un programme d'installation malveillant déguisé en CrackInstall.dmg. À l'intérieur de ce fichier apparemment inoffensif se trouve le voleur Mach-O, un malware conçu pour s'exécuter silencieusement une fois ouvert.

Les adversaires fournissent souvent des instructions visuelles pour aider les victimes à contourner Gatekeeper. Les instructions guident les utilisateurs pour faire un clic droit sur le fichier CrackInstall et sélectionner « Ouvrir » pour contourner la mesure de sécurité.

Une fois l'exécution terminée, le voleur se met immédiatement au travail, remplaçant les composants clés de l'application LedgerLive.

Plus précisément, il cible des fichiers tels que App.tsx, PairMyNano.tsx et ProtectDiscoverBody.tsx, en les remplaçant par des versions malveillantes. Ce processus crée en fait un clone de l'application LedgerLive d'origine. Le clone malveillant est conçu pour imiter l'apparence et les fonctionnalités de l'application légitime, ce qui rend difficile pour les utilisateurs de détecter la compromission.

Caractéristiques principales

Phrases de démarrage hameçonnées

L’une des caractéristiques essentielles de l’application LedgerLive infectée est sa capacité à afficher une fenêtre de phishing. Cette fenêtre invite les utilisateurs à saisir leurs phrases de départ, un ensemble de mots utilisés pour récupérer les portefeuilles de cryptomonnaies. L’application fournit un message trompeur pour créer un faux sentiment de sécurité, encourageant les utilisateurs à divulguer leurs informations sensibles.

Message d'hameçonnage :

« Votre phrase secrète est la liste secrète de mots que vous avez sauvegardée lors de la première configuration de votre portefeuille. Ledger ne conserve pas de copie de votre phrase de récupération. »

Transmission de données aux serveurs de commande et de contrôle

Après avoir capturé les phrases de départ, le malware désobfusque le serveur de commande et de contrôle (C2) et transmet les données à http://159[.]65[.]193[.]64:8080/statistics. Ce serveur principal reçoit les informations sensibles, que les attaquants peuvent ensuite exploiter.

De plus, le malware envoie des informations sur l'utilisateur et son statut d'exécution à deux autres serveurs : http://77[.]221[.]151[.]29:8080/statistics_v2 et http://77[.]221[.]151[.]29:8080/statistics_v5. Cette approche multicouche de l'exfiltration de données garantit que les attaquants reçoivent des informations complètes sur les systèmes infectés.

Conclusion

Notre analyse de l'Atomic Stealer, en particulier sa capacité à cibler et à remplacer l'application LedgerLive, a révélé ses capacités avancées. Le clone de LedgerLive imite l'application réelle, ce qui rend difficile pour les utilisateurs de détecter la compromission. En enregistrant toutes les interactions des utilisateurs, les attaquants peuvent capturer des informations sensibles, telles que les phrases de départ, qui sont cruciales pour accéder aux portefeuilles de cryptomonnaies.

Pour vous protéger, téléchargez toujours des logiciels provenant de sources officielles, évitez de cliquer sur des liens suspects et utilisez des outils de sécurité robustes comme CleanMyMac X avec Moonlock Engine pour détecter et bloquer ces menaces.

IoC

Différence entre l'application LedgerLive infectée et l'application LedgerLive originale : GitHub Gist

304145c8c242644a7aa866383bdac3c169f944ea8c6656b663c223da1359fbb9	SHA256	Installation de DMGCrack
0822cf5c34341d124164b1c89889dedc405034e40fd0c8a219859a2561a289ee	SHA256	Mach-O
5c9e197c4e7752e6a15fc9077fa41dc78ac5a737ae73a01ddb6b6fc6aadd1f1c	SHA256	Composant d'application LedgerLive malveillant App.tsx
8c23db010886261cb27a5fbaa45502586f4031cc60bda3a8df778d94a3335888	SHA256	Composant d'application LedgerLive malveillant PairMyNano.tsx
9d5bcbdc139561951256a43cc05dda3e18da99ffd200975bbf0732e90a97c710	SHA256	Composant d'application LedgerLive malveillantProtectDiscoverBody.tsx
1e86fd2688e7d0086e243194504318c125a5a7c8a1ef6f42bf39bd90deba793b	SHA256	Composant d'application LedgerLive malveillantapp.asar

L O A D I N G
. . . comments & more!

About Author

Moonlock (by MacPaw)@moonlock

Cybersecurity tech for humans

Read my stories