Rastreando o Atomic Stealer no macOS: malware sofisticado substituindo o aplicativo LedgerLive

Autor: Artem Chumak, engenheiro de pesquisa de malware na Moonlock by MacPaw

Introdução

Em nosso Laboratório Moonlock , temos monitorado de perto a evolução do ladrão atômico. Esse malware atraiu nossa atenção devido ao seu rápido desenvolvimento e aos recursos sofisticados que ele emprega. Um recurso em particular, que destacamos anteriormente em nosso Postagem X (Twitter) , destaca-se por sua capacidade avançada de substituir o aplicativo legítimo LedgerLive por um clone malicioso. Neste artigo, nos aprofundamos mais nesse recurso e suas implicações.

Monitoramento e Análise

Nossa equipe monitora continuamente fóruns Darknet e canais Telegram usados por agentes de ameaças. Essa atividade nos permite ficar informados sobre os últimos desenvolvimentos e táticas antes que eles se espalhem entre os usuários. Ao nos infiltrar nesses canais, obtemos insights em tempo real sobre as últimas atualizações em ameaças cibernéticas.

Uma das grandes fontes de informação tem sido o canal Telegram operado pelo grupo por trás do ladrão AMOS. Este canal não só facilita a venda do malware mas também fornece atualizações sobre seu desenvolvimento e implantação. Ao rastrear as discussões neste canal, conseguimos documentar a evolução do Ladrão atômico e entender sua dinâmica.

Na verdade, as postagens regulares do operador dão insights sobre desenvolvimentos e táticas futuras, permitindo-nos antecipar mudanças potenciais. Além disso, aprendemos sobre o custo da versão específica do Atomic Stealer.

Um dia, enquanto monitorávamos o canal do Telegram da operadora AMOS, nos deparamos com um anúncio destacando uma nova funcionalidade. Esse novo recurso envolve a substituição do aplicativo LedgerLive por um clone malicioso sem que o usuário perceba. Além disso, todas as ações do usuário com o aplicativo - como abrir, fechar, inserir a frase semente e enviar a frase semente - são registradas em um canal separado do Telegram criado pelo bot para fins de monitoramento.

Esta funcionalidade é oferecida como um módulo exclusivo projetado para clientes regulares com tráfego estável. O módulo em si é gratuito, mas as operadoras cobram uma taxa de 30% para o saldo de cada frase semente coletada.

Cadeia de infecção do aplicativo LedgerLive

Estávamos particularmente interessados e, portanto, obtivemos e analisamos esta versão do Atomic Stealer que tem como alvo principal o aplicativo LedgerLive. O LedgerLive é um aplicativo amplamente usado para gerenciar carteiras de criptomoedas, fornecendo aos usuários uma maneira segura e conveniente de lidar com seus ativos digitais. Consequentemente, devido à sua popularidade e ao alto valor dos ativos que gerencia, ele se tornou um alvo lucrativo para criminosos cibernéticos.

Vamos examinar o processo de infecção, que normalmente começa quando um usuário baixa um instalador malicioso disfarçado como CrackInstall.dmg. Dentro desse arquivo aparentemente inofensivo está o Mach-O stealer, um pedaço de malware projetado para executar silenciosamente uma vez aberto.

Os adversários geralmente fornecem instruções visuais para ajudar as vítimas a contornar o Gatekeeper. As instruções orientam os usuários a clicar com o botão direito do mouse no arquivo CrackInstall e selecionar "Abrir" para contornar a medida de segurança.

Após a execução, o ladrão começa a trabalhar imediatamente, substituindo componentes-chave no aplicativo LedgerLive.

Especificamente, ele tem como alvo arquivos como App.tsx, PairMyNano.tsx e ProtectDiscoverBody.tsx, substituindo-os por versões maliciosas. Esse processo efetivamente cria um clone do aplicativo LedgerLive original. O clone malicioso é projetado para imitar a aparência e a funcionalidade do aplicativo legítimo, dificultando que os usuários detectem o comprometimento.

Principais características

Phishing para Frases Semente

Um recurso crítico do aplicativo LedgerLive infectado é sua capacidade de exibir uma janela de phishing. Essa janela solicita que os usuários insiram suas frases-semente, um conjunto de palavras usadas para recuperar carteiras de criptomoedas. O aplicativo fornece uma mensagem enganosa para criar uma falsa sensação de segurança, encorajando os usuários a divulgar suas informações confidenciais.

Mensagem de phishing:

“Sua frase secreta é a lista secreta de palavras que você fez backup quando configurou sua carteira pela primeira vez. O Ledger não mantém uma cópia da sua frase de recuperação.”

Transmissão de dados para servidores de comando e controle

Após capturar as frases-semente, o malware desofusca o servidor de Comando e Controle (C2) e transmite os dados para http://159[.]65[.]193[.]64:8080/statistics. Este servidor primário recebe as informações sensíveis, que os invasores podem então explorar.

Além disso, o malware envia informações do usuário e status de execução para dois outros servidores: http://77[.]221[.]151[.]29:8080/statistics_v2 e http://77[.]221[.]151[.]29:8080/statistics_v5. Essa abordagem multicamadas para exfiltração de dados garante que os invasores recebam informações abrangentes sobre os sistemas infectados.

Conclusão

Nossa análise do Atomic Stealer, particularmente sua capacidade de mirar e substituir o aplicativo LedgerLive, revelou suas capacidades avançadas. O clone do LedgerLive imita o aplicativo real, dificultando que os usuários detectem o comprometimento. Ao registrar todas as interações do usuário, os invasores podem capturar informações confidenciais, como frases-semente, que são cruciais para acessar carteiras de criptomoedas.

Para se proteger, sempre baixe software de fontes oficiais, evite clicar em links suspeitos e use ferramentas de segurança robustas como o CleanMyMac X com Moonlock Engine para detectar e bloquear tais ameaças.

IoCs

Diferença entre o aplicativo LedgerLive infectado e o original: GitHub Resumo