paint-brush
macOS 上の Atomic Stealer を追跡: LedgerLive アプリを置き換える高度なマルウェア@moonlock
2,855 測定値
2,855 測定値

macOS 上の Atomic Stealer を追跡: LedgerLive アプリを置き換える高度なマルウェア

Moonlock (by MacPaw)4m2024/08/24
Read on Terminal Reader

長すぎる; 読むには

Atomic Stealer の新しい戦術には、ユーザーに気付かれずに LedgerLive の正規アプリを悪意のあるクローンに置き換えることが含まれます。このマルウェアはフィッシング ツールを使用してユーザーを騙し、機密情報を引き出します。次に、そのデータをコマンド アンド コントロール サーバーに送信し、他のサーバーに送信します。
featured image - macOS 上の Atomic Stealer を追跡: LedgerLive アプリを置き換える高度なマルウェア
Moonlock (by MacPaw) HackerNoon profile picture

著者: Artem Chumak、Moonlock by MacPaw のマルウェア研究エンジニア

導入

私たちのムーンロックラボ我々は、Atomic Stealerの進化を注意深く監視してきました。このマルウェアは、その急速な発展と高度な機能により注目を集めています。特に、我々が以前にX(Twitter)投稿は、正規の LedgerLive アプリを悪意のあるクローンに置き換える高度な機能を備えています。この記事では、この機能とその影響について詳しく説明します。

監視と分析

私たちのチームは、脅威アクターが使用するダークネット フォーラムと Telegram チャンネルを継続的に監視しています。この活動により、最新の開発状況や戦術がユーザーの間で広まる前に、それらについて情報を得ることができます。これらのチャンネルに侵入することで、サイバー脅威の最新情報をリアルタイムで把握できます。


情報源として大きなものの一つは、AMOS窃盗犯の背後にいるグループが運営するTelegramチャンネルだ。このチャンネルは、マルウェア開発と展開に関する最新情報も提供しています。このチャンネル内での議論を追跡することで、原子スティーラーそしてそのダイナミクスを理解します。

図1. オペレータのテレグラムによるAMOSの進化のタイムライン

実際、運営者の定期的な投稿には、将来の開発と戦術に関する洞察が含まれており、潜在的な変更を予測することができます。さらに、Atomic Stealer の特定のバージョンのコストについても学びました。

図 2. スティーラーが 3,000 ドルで販売されている AMOS Telegram チャンネルのスクリーンショット (ロシア語から翻訳)


ある日、AMOS オペレーターの Telegram チャンネルを監視していたところ、新機能を紹介する広告に遭遇しました。この新機能では、ユーザーに気付かれずに LedgerLive アプリを悪意のあるクローンに置き換えます。さらに、開く、閉じる、シード フレーズを入力する、シード フレーズを送信するなど、アプリケーションでのユーザーのすべての操作は、監視目的でボットによって作成された別の Telegram チャンネルに記録されます。


この機能は、トラフィックが安定している常連のお客様向けに設計された独自のモジュールとして提供されています。モジュール自体は無料ですが、オペレーターは収集されたシードフレーズの残額に対して 30% の手数料を請求します。

図3. サイバー犯罪者のTelegramチャンネルからの広告

LedgerLive アプリの感染チェーン

私たちは特に、LedgerLive アプリを主に標的とするこのバージョンの Atomic Stealer に興味を持ち、入手して分析しました。LedgerLive は、暗号通貨ウォレットの管理に広く使用されているアプリケーションで、ユーザーにデジタル資産を安全かつ便利に扱う方法を提供しています。その結果、その人気と管理する資産の価値の高さから、サイバー犯罪者にとって格好の標的となっています。

図4. Ledger Live Crypto Walletアプリのメインページ

感染プロセスを調べてみましょう。感染プロセスは通常、ユーザーが CrackInstall.dmg に偽装した悪意のあるインストーラーをダウンロードしたときに始まります。この一見無害なファイルの中には、開かれると静かに実行されるように設計されたマルウェアである Mach-O スティーラーが含まれています。


攻撃者は、被害者が Gatekeeper を回避できるように視覚的な指示を出すことがよくあります。その指示では、セキュリティ対策を回避するために、CrackInstall ファイルを右クリックして「開く」を選択するようにユーザーに指示します。

図 5. CrackInstall.dmg の偽のインストール ウィンドウ

実行されると、窃盗プログラムはすぐに動作を開始し、LedgerLive アプリの主要コンポーネントを置き換えます。

図 6. 悪意のある Mach-o ファイルから抽出されたコンテンツ。
具体的には、App.tsx、PairMyNano.tsx、ProtectDiscoverBody.tsx などのファイルをターゲットにし、悪意のあるバージョンに置き換えます。このプロセスにより、元の LedgerLive アプリのクローンが効果的に作成されます。悪意のあるクローンは、正規のアプリの外観と機能を模倣するように設計されているため、ユーザーが侵害を検出することが困難になります。

図7. LedgerLiveアプリの感染チェーン

主な特徴

シードフレーズのフィッシング

感染した LedgerLive アプリの重要な特徴の 1 つは、フィッシング ウィンドウを表示する機能です。このウィンドウは、ユーザーにシード フレーズ (暗号通貨ウォレットを復元するために使用される一連の単語) を入力するよう求めます。アプリは誤解を招くメッセージを表示して誤った安心感を与え、ユーザーに機密情報を漏らすように促します。

フィッシングメッセージ:

「シークレットフレーズは、ウォレットを最初にセットアップしたときにバックアップした秘密の単語リストです。Ledger はリカバリーフレーズのコピーを保存しません。」

図8. シードフレーズを狙ったフィッシングのスニペット

コマンド&コントロールサーバーへのデータ転送

マルウェアはシードフレーズをキャプチャした後、コマンド アンド コントロール (C2) サーバーの難読化を解除し、データを http://159[.]65[.]193[.]64:8080/statistics に送信します。このプライマリ サーバーは機密情報を受信し、攻撃者はそれを悪用することができます。

図9. 被害者のデータをC2サーバーに送信するスニペット

さらに、マルウェアはユーザー情報と実行ステータスを他の 2 つのサーバー (http://77[.]221[.]151[.]29:8080/statistics_v2 と http://77[.]221[.]151[.]29:8080/statistics_v5) に送信します。この多層的なデータ流出アプローチにより、攻撃者は感染したシステムに関する包括的な情報を確実に受け取ることができます。

図 10. 実行ステータスを C2 サーバーに送信するスニペット。

結論

Atomic Stealer の分析、特に LedgerLive アプリをターゲットにして置き換える機能により、その高度な機能が明らかになりました。LedgerLive クローンは実際のアプリを模倣しているため、ユーザーが侵害を検出するのは困難です。攻撃者は、すべてのユーザー操作をログに記録することで、暗号通貨ウォレットにアクセスするために不可欠なシード フレーズなどの機密情報を取得できます。


自分自身を守るためには、常に公式ソースからソフトウェアをダウンロードし、疑わしいリンクをクリックしないようにし、 Moonlock Engineを搭載した CleanMyMac X などの強力なセキュリティ ツールを使用して、そのような脅威を検出してブロックしてください。

IoC

感染したLedgerLiveアプリとオリジナルのLedgerLiveアプリの差分: GitHub の Gist

304145c8c242644a7aa866383bdac3c169f944ea8c6656b663c223da1359fbb9

SHA256

DMGクラックインストール

0822cf5c34341d124164b1c89889dedc405034e40fd0c8a219859a2561a289ee

SHA256

マッハO

5c9e197c4e7752e6a15fc9077fa41dc78ac5a737ae73a01ddb6b6fc6aadd1f1c

SHA256

悪意のある LedgerLive アプリ コンポーネント App.tsx

8c23db010886261cb27a5fbaa45502586f4031cc60bda3a8df778d94a3335888

SHA256

悪意のある LedgerLive アプリ ComponentPairMyNano.tsx

9d5bcbdc139561951256a43cc05dda3e18da99ffd200975bbf0732e90a97c710

SHA256

悪意のある LedgerLive アプリ ComponentProtectDiscoverBody.tsx

1e86fd2688e7d0086e243194504318c125a5a7c8a1ef6f42bf39bd90deba793b

SHA256

悪意のある LedgerLive アプリ コンポーネント app.asar