macOS 上の Atomic Stealer を追跡: LedgerLive アプリを置き換える高度なマルウェア

著者: Artem Chumak、Moonlock by MacPaw のマルウェア研究エンジニア

導入

私たちのムーンロックラボ我々は、Atomic Stealerの進化を注意深く監視してきました。このマルウェアは、その急速な発展と高度な機能により注目を集めています。特に、我々が以前にX（Twitter）投稿は、正規の LedgerLive アプリを悪意のあるクローンに置き換える高度な機能を備えています。この記事では、この機能とその影響について詳しく説明します。

監視と分析

私たちのチームは、脅威アクターが使用するダークネット フォーラムと Telegram チャンネルを継続的に監視しています。この活動により、最新の開発状況や戦術がユーザーの間で広まる前に、それらについて情報を得ることができます。これらのチャンネルに侵入することで、サイバー脅威の最新情報をリアルタイムで把握できます。

情報源として大きなものの一つは、AMOS窃盗犯の背後にいるグループが運営するTelegramチャンネルだ。このチャンネルは、マルウェア開発と展開に関する最新情報も提供しています。このチャンネル内での議論を追跡することで、原子スティーラーそしてそのダイナミクスを理解します。

実際、運営者の定期的な投稿には、将来の開発と戦術に関する洞察が含まれており、潜在的な変更を予測することができます。さらに、Atomic Stealer の特定のバージョンのコストについても学びました。

ある日、AMOS オペレーターの Telegram チャンネルを監視していたところ、新機能を紹介する広告に遭遇しました。この新機能では、ユーザーに気付かれずに LedgerLive アプリを悪意のあるクローンに置き換えます。さらに、開く、閉じる、シード フレーズを入力する、シード フレーズを送信するなど、アプリケーションでのユーザーのすべての操作は、監視目的でボットによって作成された別の Telegram チャンネルに記録されます。

この機能は、トラフィックが安定している常連のお客様向けに設計された独自のモジュールとして提供されています。モジュール自体は無料ですが、オペレーターは収集されたシードフレーズの残額に対して 30% の手数料を請求します。

LedgerLive アプリの感染チェーン

私たちは特に、LedgerLive アプリを主に標的とするこのバージョンの Atomic Stealer に興味を持ち、入手して分析しました。LedgerLive は、暗号通貨ウォレットの管理に広く使用されているアプリケーションで、ユーザーにデジタル資産を安全かつ便利に扱う方法を提供しています。その結果、その人気と管理する資産の価値の高さから、サイバー犯罪者にとって格好の標的となっています。

感染プロセスを調べてみましょう。感染プロセスは通常、ユーザーが CrackInstall.dmg に偽装した悪意のあるインストーラーをダウンロードしたときに始まります。この一見無害なファイルの中には、開かれると静かに実行されるように設計されたマルウェアである Mach-O スティーラーが含まれています。

攻撃者は、被害者が Gatekeeper を回避できるように視覚的な指示を出すことがよくあります。その指示では、セキュリティ対策を回避するために、CrackInstall ファイルを右クリックして「開く」を選択するようにユーザーに指示します。

実行されると、窃盗プログラムはすぐに動作を開始し、LedgerLive アプリの主要コンポーネントを置き換えます。

具体的には、App.tsx、PairMyNano.tsx、ProtectDiscoverBody.tsx などのファイルをターゲットにし、悪意のあるバージョンに置き換えます。このプロセスにより、元の LedgerLive アプリのクローンが効果的に作成されます。悪意のあるクローンは、正規のアプリの外観と機能を模倣するように設計されているため、ユーザーが侵害を検出することが困難になります。

主な特徴

シードフレーズのフィッシング

感染した LedgerLive アプリの重要な特徴の 1 つは、フィッシング ウィンドウを表示する機能です。このウィンドウは、ユーザーにシード フレーズ (暗号通貨ウォレットを復元するために使用される一連の単語) を入力するよう求めます。アプリは誤解を招くメッセージを表示して誤った安心感を与え、ユーザーに機密情報を漏らすように促します。

フィッシングメッセージ:

「シークレットフレーズは、ウォレットを最初にセットアップしたときにバックアップした秘密の単語リストです。Ledger はリカバリーフレーズのコピーを保存しません。」

コマンド＆コントロールサーバーへのデータ転送

マルウェアはシードフレーズをキャプチャした後、コマンド アンド コントロール (C2) サーバーの難読化を解除し、データを http://159[.]65[.]193[.]64:8080/statistics に送信します。このプライマリ サーバーは機密情報を受信し、攻撃者はそれを悪用することができます。

さらに、マルウェアはユーザー情報と実行ステータスを他の 2 つのサーバー (http://77[.]221[.]151[.]29:8080/statistics_v2 と http://77[.]221[.]151[.]29:8080/statistics_v5) に送信します。この多層的なデータ流出アプローチにより、攻撃者は感染したシステムに関する包括的な情報を確実に受け取ることができます。

結論

Atomic Stealer の分析、特に LedgerLive アプリをターゲットにして置き換える機能により、その高度な機能が明らかになりました。LedgerLive クローンは実際のアプリを模倣しているため、ユーザーが侵害を検出するのは困難です。攻撃者は、すべてのユーザー操作をログに記録することで、暗号通貨ウォレットにアクセスするために不可欠なシード フレーズなどの機密情報を取得できます。

自分自身を守るためには、常に公式ソースからソフトウェアをダウンロードし、疑わしいリンクをクリックしないようにし、 Moonlock Engineを搭載した CleanMyMac X などの強力なセキュリティ ツールを使用して、そのような脅威を検出してブロックしてください。

IoC

感染したLedgerLiveアプリとオリジナルのLedgerLiveアプリの差分: GitHub の Gist