macOS에서 Atomic Stealer 추적: LedgerLive 앱을 대체하는 정교한 맬웨어

저자: Artem Chumak, Moonlock by MacPaw의 맬웨어 연구 엔지니어

소개

우리의 문락 랩 , 우리는 Atomic stealer의 진화를 면밀히 모니터링해 왔습니다. 이 맬웨어는 빠른 개발과 정교한 기능으로 인해 우리의 주목을 받았습니다. 우리가 이전에 강조했던 한 가지 특정 기능은 X (트위터) 게시물 , 합법적인 LedgerLive 앱을 악성 복제본으로 대체하는 고급 기능으로 두드러집니다. 이 기사에서는 이 기능과 그 의미에 대해 더 자세히 살펴보겠습니다.

모니터링 및 분석

저희 팀은 위협 행위자들이 사용하는 다크넷 포럼과 텔레그램 채널을 지속적으로 모니터링합니다. 이 활동을 통해 사용자들 사이에 퍼지기 전에 최신 개발 사항과 전술에 대한 정보를 얻을 수 있습니다. 이러한 채널에 침투함으로써 사이버 위협의 최신 업데이트에 대한 실시간 통찰력을 얻습니다.

정보의 가장 큰 출처 중 하나는 AMOS 도둑의 배후에 있는 그룹이 운영하는 Telegram 채널입니다. 이 채널은 판매를 용이하게 할 뿐만 아니라 맬웨어 하지만 개발 및 배포에 대한 업데이트도 제공합니다. 이 채널 내에서 토론을 추적함으로써 우리는 진화를 문서화할 수 있었습니다. 원자도둑 그리고 그 역학을 이해합니다.

사실, 운영자의 정기적인 게시물은 미래의 개발과 전략에 대한 통찰력을 제공하여 잠재적인 변화를 예상할 수 있게 해줍니다. 또한, 우리는 Atomic Stealer의 특정 버전 비용에 대해서도 알게 되었습니다.

어느 날, AMOS 운영자의 텔레그램 채널을 모니터링하는 동안 새로운 기능을 강조하는 광고를 발견했습니다. 이 새로운 기능은 사용자가 알아차리지 못하게 LedgerLive 앱을 악성 복제본으로 대체하는 것입니다. 또한, 열기, 닫기, 시드 문구 입력, 시드 문구 보내기와 같은 모든 사용자 동작은 모니터링 목적으로 봇이 만든 별도의 텔레그램 채널에 기록됩니다.

이 기능은 안정적인 트래픽을 가진 일반 고객을 위해 설계된 고유한 모듈로 제공됩니다. 모듈 자체는 무료이지만 운영자는 수집된 각 시드 구문의 잔액에 대해 30% 수수료를 부과합니다.

LedgerLive 앱의 감염 사슬

우리는 특히 LedgerLive 앱을 주로 타겟으로 하는 Atomic Stealer의 이 버전에 관심이 있었고, 따라서 이를 획득하여 분석했습니다. LedgerLive는 암호화폐 지갑을 관리하는 데 널리 사용되는 애플리케이션으로, 사용자에게 디지털 자산을 안전하고 편리하게 처리할 수 있는 방법을 제공합니다. 결과적으로 인기와 관리하는 자산의 높은 가치로 인해 사이버 범죄자들의 수익성 있는 타겟이 되었습니다.

감염 과정을 살펴보겠습니다. 일반적으로 사용자가 CrackInstall.dmg로 위장한 악성 설치 프로그램을 다운로드할 때 시작됩니다. 겉보기에 무해해 보이는 이 파일 안에는 Mach-O 스틸러가 있는데, 이는 열리면 조용히 실행되도록 설계된 맬웨어입니다.

적대자들은 종종 피해자가 Gatekeeper를 우회할 수 있도록 시각적 지침을 제공합니다. 이 지침은 사용자가 CrackInstall 파일을 마우스 오른쪽 버튼으로 클릭하고 "열기"를 선택하여 보안 조치를 우회하도록 안내합니다.

실행 후, 스틸러는 즉시 작동하여 LedgerLive 앱의 주요 구성 요소를 교체합니다.

구체적으로 App.tsx, PairMyNano.tsx, ProtectDiscoverBody.tsx와 같은 파일을 대상으로 악성 버전으로 대체합니다. 이 프로세스는 효과적으로 원래 LedgerLive 앱의 복제본을 만듭니다. 악성 복제본은 합법적인 앱의 모양과 기능을 모방하도록 설계되어 사용자가 손상을 감지하기 어렵게 만듭니다.

주요 특징

시드 문구 피싱

감염된 LedgerLive 앱의 중요한 기능 중 하나는 피싱 창을 표시하는 기능입니다. 이 창은 사용자에게 암호 화폐 지갑을 복구하는 데 사용되는 단어 집합인 시드 문구를 입력하도록 요청합니다. 이 앱은 사용자에게 잘못된 보안 감각을 조성하기 위해 오해의 소지가 있는 메시지를 제공하여 사용자가 민감한 정보를 공개하도록 권장합니다.

피싱 메시지:

"비밀 문구는 지갑을 처음 설정할 때 백업한 단어의 비밀 목록입니다. Ledger는 복구 문구의 사본을 보관하지 않습니다."

명령 및 제어 서버로의 데이터 전송

시드 구문을 캡처한 후, 맬웨어는 명령 및 제어(C2) 서버를 난독 해제하고 데이터를 http://159[.]65[.]193[.]64:8080/statistics로 전송합니다. 이 기본 서버는 공격자가 악용할 수 있는 민감한 정보를 수신합니다.

또한, 맬웨어는 사용자 정보와 실행 상태를 다른 두 서버, http://77[.]221[.]151[.]29:8080/statistics_v2 및 http://77[.]221[.]151[.]29:8080/statistics_v5로 전송합니다. 데이터 침출에 대한 이러한 다층적 접근 방식은 공격자가 감염된 시스템에 대한 포괄적인 정보를 수신하도록 보장합니다.

결론

Atomic Stealer에 대한 분석, 특히 LedgerLive 앱을 타겟팅하고 대체하는 기능을 통해 고급 기능이 드러났습니다. LedgerLive 클론은 실제 앱을 모방하여 사용자가 침해를 감지하기 어렵게 만듭니다. 모든 사용자 상호작용을 로깅함으로써 공격자는 암호화폐 지갑에 액세스하는 데 중요한 시드 문구와 같은 민감한 정보를 캡처할 수 있습니다.

자신을 보호하려면 항상 공식 출처에서 소프트웨어를 다운로드하고, 의심스러운 링크는 클릭하지 말고, Moonlock Engine이 탑재된 CleanMyMac X와 같은 강력한 보안 도구를 사용하여 이러한 위협을 탐지하고 차단하세요.

IoCs

감염된 LedgerLive 앱과 원래 LedgerLive 앱의 차이점: GitHub 요점