Artem Chumak、Moonlock by MacPaw のマルウェア研究エンジニア 著者: 導入 私たちの 我々は、Atomic Stealerの進化を注意深く監視してきました。このマルウェアは、その急速な発展と高度な機能により注目を集めています。特に、我々が以前に は、正規の LedgerLive アプリを悪意のあるクローンに置き換える高度な機能を備えています。この記事では、この機能とその影響について詳しく説明します。 ムーンロックラボ X(Twitter)投稿 監視と分析 私たちのチームは、脅威アクターが使用するダークネット フォーラムと Telegram チャンネルを継続的に監視しています。この活動により、最新の開発状況や戦術がユーザーの間で広まる前に、それらについて情報を得ることができます。これらのチャンネルに侵入することで、サイバー脅威の最新情報をリアルタイムで把握できます。 情報源として大きなものの一つは、AMOS窃盗犯の背後にいるグループが運営するTelegramチャンネルだ。このチャンネルは、 開発と展開に関する最新情報も提供しています。このチャンネル内での議論を追跡することで、 そしてそのダイナミクスを理解します。 マルウェア 原子スティーラー 実際、運営者の定期的な投稿には、将来の開発と戦術に関する洞察が含まれており、潜在的な変更を予測することができます。さらに、Atomic Stealer の特定のバージョンのコストについても学びました。 ある日、AMOS オペレーターの Telegram チャンネルを監視していたところ、新機能を紹介する広告に遭遇しました。この新機能では、ユーザーに気付かれずに LedgerLive アプリを悪意のあるクローンに置き換えます。さらに、開く、閉じる、シード フレーズを入力する、シード フレーズを送信するなど、アプリケーションでのユーザーのすべての操作は、監視目的でボットによって作成された別の Telegram チャンネルに記録されます。 この機能は、トラフィックが安定している常連のお客様向けに設計された独自のモジュールとして提供されています。モジュール自体は無料ですが、オペレーターは収集されたシードフレーズの残額に対して 30% の手数料を請求します。 LedgerLive アプリの感染チェーン 私たちは特に、LedgerLive アプリを主に標的とするこのバージョンの Atomic Stealer に興味を持ち、入手して分析しました。LedgerLive は、暗号通貨ウォレットの管理に広く使用されているアプリケーションで、ユーザーにデジタル資産を安全かつ便利に扱う方法を提供しています。その結果、その人気と管理する資産の価値の高さから、サイバー犯罪者にとって格好の標的となっています。 感染プロセスを調べてみましょう。感染プロセスは通常、ユーザーが CrackInstall.dmg に偽装した悪意のあるインストーラーをダウンロードしたときに始まります。この一見無害なファイルの中には、開かれると静かに実行されるように設計されたマルウェアである Mach-O スティーラーが含まれています。 攻撃者は、被害者が Gatekeeper を回避できるように視覚的な指示を出すことがよくあります。その指示では、セキュリティ対策を回避するために、CrackInstall ファイルを右クリックして「開く」を選択するようにユーザーに指示します。 実行されると、窃盗プログラムはすぐに動作を開始し、LedgerLive アプリの主要コンポーネントを置き換えます。 具体的には、App.tsx、PairMyNano.tsx、ProtectDiscoverBody.tsx などのファイルをターゲットにし、悪意のあるバージョンに置き換えます。このプロセスにより、元の LedgerLive アプリのクローンが効果的に作成されます。悪意のあるクローンは、正規のアプリの外観と機能を模倣するように設計されているため、ユーザーが侵害を検出することが困難になります。 主な特徴 シードフレーズのフィッシング 感染した LedgerLive アプリの重要な特徴の 1 つは、フィッシング ウィンドウを表示する機能です。このウィンドウは、ユーザーにシード フレーズ (暗号通貨ウォレットを復元するために使用される一連の単語) を入力するよう求めます。アプリは誤解を招くメッセージを表示して誤った安心感を与え、ユーザーに機密情報を漏らすように促します。 フィッシングメッセージ: 「シークレットフレーズは、ウォレットを最初にセットアップしたときにバックアップした秘密の単語リストです。Ledger はリカバリーフレーズのコピーを保存しません。」 コマンド&コントロールサーバーへのデータ転送 マルウェアはシードフレーズをキャプチャした後、コマンド アンド コントロール (C2) サーバーの難読化を解除し、データを http://159[.]65[.]193[.]64:8080/statistics に送信します。このプライマリ サーバーは機密情報を受信し、攻撃者はそれを悪用することができます。 さらに、マルウェアはユーザー情報と実行ステータスを他の 2 つのサーバー (http://77[.]221[.]151[.]29:8080/statistics_v2 と http://77[.]221[.]151[.]29:8080/statistics_v5) に送信します。この多層的なデータ流出アプローチにより、攻撃者は感染したシステムに関する包括的な情報を確実に受け取ることができます。 結論 Atomic Stealer の分析、特に LedgerLive アプリをターゲットにして置き換える機能により、その高度な機能が明らかになりました。LedgerLive クローンは実際のアプリを模倣しているため、ユーザーが侵害を検出するのは困難です。攻撃者は、すべてのユーザー操作をログに記録することで、暗号通貨ウォレットにアクセスするために不可欠なシード フレーズなどの機密情報を取得できます。 自分自身を守るためには、常に公式ソースからソフトウェアをダウンロードし、疑わしいリンクをクリックしないようにし、 を搭載した CleanMyMac X などの強力なセキュリティ ツールを使用して、そのような脅威を検出してブロックしてください。 Moonlock Engine IoC 感染したLedgerLiveアプリとオリジナルのLedgerLiveアプリの差分: GitHub の Gist 304145c8c242644a7aa866383bdac3c169f944ea8c6656b663c223da1359fbb9 SHA256 DMGクラックインストール 0822cf5c34341d124164b1c89889dedc405034e40fd0c8a219859a2561a289ee SHA256 マッハO 5c9e197c4e7752e6a15fc9077fa41dc78ac5a737ae73a01ddb6b6fc6aadd1f1c SHA256 悪意のある LedgerLive アプリ コンポーネント App.tsx 8c23db010886261cb27a5fbaa45502586f4031cc60bda3a8df778d94a3335888 SHA256 悪意のある LedgerLive アプリ ComponentPairMyNano.tsx 9d5bcbdc139561951256a43cc05dda3e18da99ffd200975bbf0732e90a97c710 SHA256 悪意のある LedgerLive アプリ ComponentProtectDiscoverBody.tsx 1e86fd2688e7d0086e243194504318c125a5a7c8a1ef6f42bf39bd90deba793b SHA256 悪意のある LedgerLive アプリ コンポーネント app.asar
