मैकओएस पर एटॉमिक स्टीलर को ट्रैक करना: लेजरलाइव ऐप की जगह ले रहा परिष्कृत मैलवेयर

लेखक: आर्टेम चुमाक, मूनलॉक बाय मैकपॉ में मैलवेयर रिसर्च इंजीनियर

परिचय

हमारे में मूनलॉक लैब , हम परमाणु चोर के विकास पर बारीकी से नज़र रख रहे हैं। इस मैलवेयर ने अपने तेज़ विकास और इसमें इस्तेमाल की जाने वाली परिष्कृत विशेषताओं के कारण हमारा ध्यान आकर्षित किया है। एक विशेष विशेषता, जिसे हमने पहले अपने लेख में उजागर किया था X (ट्विटर) पोस्ट , वैध लेजर लाइव ऐप को दुर्भावनापूर्ण क्लोन से बदलने की अपनी उन्नत क्षमता के लिए जाना जाता है। इस लेख में, हम इस सुविधा और इसके निहितार्थों के बारे में गहराई से जानेंगे।

निगरानी और विश्लेषण

हमारी टीम लगातार डार्कनेट फ़ोरम और टेलीग्राम चैनलों पर नज़र रखती है, जिनका इस्तेमाल ख़तरनाक तत्वों द्वारा किया जाता है। यह गतिविधि हमें नवीनतम विकास और रणनीति के बारे में उपयोगकर्ताओं के बीच फैलने से पहले सूचित रहने की अनुमति देती है। इन चैनलों में घुसपैठ करके, हम साइबर खतरों में नवीनतम अपडेट के बारे में वास्तविक समय की जानकारी प्राप्त करते हैं।

सूचना के महान स्रोतों में से एक टेलीग्राम चैनल है जो एएमओएस चोर के पीछे के समूह द्वारा संचालित है। यह चैनल न केवल बिक्री की सुविधा प्रदान करता है मैलवेयर बल्कि इसके विकास और तैनाती पर अपडेट भी प्रदान करता है। इस चैनल के भीतर चर्चाओं को ट्रैक करके, हम इसके विकास को दस्तावेज करने में सक्षम हुए हैं परमाणु चोर और इसकी गतिशीलता को समझें.

वास्तव में, ऑपरेटर की नियमित पोस्ट भविष्य के विकास और रणनीति के बारे में जानकारी देती हैं, जिससे हमें संभावित बदलावों का अनुमान लगाने में मदद मिलती है। इसके अतिरिक्त, हमने एटॉमिक स्टीलर के विशेष संस्करण की लागत के बारे में भी जाना।

एक दिन, एएमओएस ऑपरेटर के टेलीग्राम चैनल की निगरानी करते समय, हमें एक विज्ञापन मिला जिसमें एक नई कार्यक्षमता को उजागर किया गया था। इस नई सुविधा में उपयोगकर्ता की जानकारी के बिना लेजर लाइव ऐप को दुर्भावनापूर्ण क्लोन से बदलना शामिल है। इसके अलावा, एप्लिकेशन के साथ उपयोगकर्ता की सभी क्रियाएँ - जैसे कि खोलना, बंद करना, बीज वाक्यांश दर्ज करना और बीज वाक्यांश भेजना - निगरानी उद्देश्यों के लिए बॉट द्वारा बनाए गए एक अलग टेलीग्राम चैनल में लॉग इन किया जाता है।

यह कार्यक्षमता स्थिर ट्रैफ़िक वाले नियमित ग्राहकों के लिए डिज़ाइन किए गए एक अद्वितीय मॉड्यूल के रूप में पेश की जाती है। मॉड्यूल स्वयं मुफ़्त है, लेकिन ऑपरेटर एकत्रित किए गए प्रत्येक बीज वाक्यांश के शेष के लिए 30% शुल्क लेते हैं।

लेजरलाइव ऐप की संक्रमण श्रृंखला

हम विशेष रूप से एटॉमिक स्टीलर के इस संस्करण में रुचि रखते थे और इसलिए, हमने इसे प्राप्त किया और इसका विश्लेषण किया जो मुख्य रूप से लेजर लाइव ऐप को लक्षित करता है। लेजर लाइव क्रिप्टोकरेंसी वॉलेट के प्रबंधन के लिए व्यापक रूप से इस्तेमाल किया जाने वाला एप्लिकेशन है, जो उपयोगकर्ताओं को अपनी डिजिटल संपत्तियों को संभालने का एक सुरक्षित और सुविधाजनक तरीका प्रदान करता है। नतीजतन, इसकी लोकप्रियता और इसके द्वारा प्रबंधित संपत्तियों के उच्च मूल्य के कारण, यह साइबर अपराधियों के लिए एक आकर्षक लक्ष्य बन गया है।

आइए संक्रमण प्रक्रिया की जांच करें, जो आमतौर पर तब शुरू होती है जब कोई उपयोगकर्ता CrackInstall.dmg के रूप में प्रच्छन्न एक दुर्भावनापूर्ण इंस्टॉलर डाउनलोड करता है। इस प्रतीत होता है हानिरहित फ़ाइल के अंदर Mach-O चोर है, मैलवेयर का एक टुकड़ा जिसे एक बार खोले जाने के बाद चुपचाप निष्पादित करने के लिए डिज़ाइन किया गया है।

विरोधी अक्सर पीड़ितों को गेटकीपर को बायपास करने में मदद करने के लिए दृश्य निर्देश प्रदान करते हैं। निर्देश उपयोगकर्ताओं को क्रैकइंस्टॉल फ़ाइल पर राइट-क्लिक करने और सुरक्षा उपाय को दरकिनार करने के लिए "ओपन" का चयन करने के लिए मार्गदर्शन करते हैं।

निष्पादन के बाद, चोर तुरंत काम करना शुरू कर देता है, तथा लेजर लाइव ऐप में प्रमुख घटकों को बदल देता है।

खास तौर पर, यह App.tsx, PairMyNano.tsx और ProtectDiscoverBody.tsx जैसी फ़ाइलों को लक्षित करता है, और उन्हें दुर्भावनापूर्ण संस्करणों से बदल देता है। यह प्रक्रिया प्रभावी रूप से मूल LedgerLive ऐप का क्लोन बनाती है। दुर्भावनापूर्ण क्लोन को वैध ऐप की उपस्थिति और कार्यक्षमता की नकल करने के लिए डिज़ाइन किया गया है, जिससे उपयोगकर्ताओं के लिए समझौता का पता लगाना मुश्किल हो जाता है।

प्रमुख विशेषताऐं

बीज वाक्यांशों के लिए फ़िशिंग

संक्रमित लेजर लाइव ऐप की एक महत्वपूर्ण विशेषता फ़िशिंग विंडो प्रदर्शित करने की इसकी क्षमता है। यह विंडो उपयोगकर्ताओं को उनके बीज वाक्यांश दर्ज करने के लिए प्रेरित करती है, जो क्रिप्टोक्यूरेंसी वॉलेट को पुनर्प्राप्त करने के लिए उपयोग किए जाने वाले शब्दों का एक सेट है। ऐप सुरक्षा की झूठी भावना पैदा करने के लिए एक भ्रामक संदेश प्रदान करता है, जिससे उपयोगकर्ता अपनी संवेदनशील जानकारी प्रकट करने के लिए प्रोत्साहित होते हैं।

फ़िशिंग संदेश:

"आपका गुप्त वाक्यांश उन शब्दों की गुप्त सूची है, जिनका आपने पहली बार अपना वॉलेट सेट करते समय बैकअप लिया था। लेजर आपके रिकवरी वाक्यांश की कॉपी नहीं रखता है।"

कमांड और कंट्रोल सर्वर तक डेटा ट्रांसमिशन

बीज वाक्यांशों को कैप्चर करने के बाद, मैलवेयर कमांड और कंट्रोल (C2) सर्वर को डीओबफस्केट करता है और डेटा को http://159[.]65[.]193[.]64:8080/statistics पर भेजता है। यह प्राथमिक सर्वर संवेदनशील जानकारी प्राप्त करता है, जिसका हमलावर फिर फायदा उठा सकते हैं।

इसके अतिरिक्त, मैलवेयर उपयोगकर्ता की जानकारी और निष्पादन स्थिति को दो अन्य सर्वरों पर भेजता है: http://77[.]221[.]151[.]29:8080/statistics_v2 और http://77[.]221[.]151[.]29:8080/statistics_v5. डेटा एक्सफ़िलट्रेशन के लिए यह बहु-स्तरीय दृष्टिकोण सुनिश्चित करता है कि हमलावरों को संक्रमित सिस्टम के बारे में व्यापक जानकारी प्राप्त हो।

निष्कर्ष

एटॉमिक स्टीलर के हमारे विश्लेषण, विशेष रूप से लेजर लाइव ऐप को लक्षित करने और बदलने की इसकी क्षमता, ने इसकी उन्नत क्षमताओं को उजागर किया है। लेजर लाइव क्लोन वास्तविक ऐप की नकल करता है, जिससे उपयोगकर्ताओं के लिए समझौता का पता लगाना मुश्किल हो जाता है। सभी उपयोगकर्ता इंटरैक्शन को लॉग करके, हमलावर संवेदनशील जानकारी, जैसे कि सीड वाक्यांश, को कैप्चर कर सकते हैं, जो क्रिप्टोक्यूरेंसी वॉलेट तक पहुँचने के लिए महत्वपूर्ण हैं।

अपने आप को सुरक्षित रखने के लिए, हमेशा आधिकारिक स्रोतों से ही सॉफ्टवेयर डाउनलोड करें, संदिग्ध लिंक पर क्लिक करने से बचें, तथा ऐसे खतरों का पता लगाने और उन्हें रोकने के लिए क्लीनमाइक मैक एक्स विद मूनलॉक इंजन जैसे मजबूत सुरक्षा उपकरणों का उपयोग करें।

आईओसी

संक्रमित और मूल LedgerLive ऐप का अंतर: GitHub सार