Artem Chumak, engenheiro de pesquisa de malware na Moonlock by MacPaw Autor: Introdução Em nosso , temos monitorado de perto a evolução do ladrão atômico. Esse malware atraiu nossa atenção devido ao seu rápido desenvolvimento e aos recursos sofisticados que ele emprega. Um recurso em particular, que destacamos anteriormente em nosso , destaca-se por sua capacidade avançada de substituir o aplicativo legítimo LedgerLive por um clone malicioso. Neste artigo, nos aprofundamos mais nesse recurso e suas implicações. Laboratório Moonlock Postagem X (Twitter) Monitoramento e Análise Nossa equipe monitora continuamente fóruns Darknet e canais Telegram usados por agentes de ameaças. Essa atividade nos permite ficar informados sobre os últimos desenvolvimentos e táticas antes que eles se espalhem entre os usuários. Ao nos infiltrar nesses canais, obtemos insights em tempo real sobre as últimas atualizações em ameaças cibernéticas. Uma das grandes fontes de informação tem sido o canal Telegram operado pelo grupo por trás do ladrão AMOS. Este canal não só facilita a venda do mas também fornece atualizações sobre seu desenvolvimento e implantação. Ao rastrear as discussões neste canal, conseguimos documentar a evolução do e entender sua dinâmica. malware Ladrão atômico Na verdade, as postagens regulares do operador dão insights sobre desenvolvimentos e táticas futuras, permitindo-nos antecipar mudanças potenciais. Além disso, aprendemos sobre o custo da versão específica do Atomic Stealer. Um dia, enquanto monitorávamos o canal do Telegram da operadora AMOS, nos deparamos com um anúncio destacando uma nova funcionalidade. Esse novo recurso envolve a substituição do aplicativo LedgerLive por um clone malicioso sem que o usuário perceba. Além disso, todas as ações do usuário com o aplicativo - como abrir, fechar, inserir a frase semente e enviar a frase semente - são registradas em um canal separado do Telegram criado pelo bot para fins de monitoramento. Esta funcionalidade é oferecida como um módulo exclusivo projetado para clientes regulares com tráfego estável. O módulo em si é gratuito, mas as operadoras cobram uma taxa de 30% para o saldo de cada frase semente coletada. Cadeia de infecção do aplicativo LedgerLive Estávamos particularmente interessados e, portanto, obtivemos e analisamos esta versão do Atomic Stealer que tem como alvo principal o aplicativo LedgerLive. O LedgerLive é um aplicativo amplamente usado para gerenciar carteiras de criptomoedas, fornecendo aos usuários uma maneira segura e conveniente de lidar com seus ativos digitais. Consequentemente, devido à sua popularidade e ao alto valor dos ativos que gerencia, ele se tornou um alvo lucrativo para criminosos cibernéticos. Vamos examinar o processo de infecção, que normalmente começa quando um usuário baixa um instalador malicioso disfarçado como CrackInstall.dmg. Dentro desse arquivo aparentemente inofensivo está o Mach-O stealer, um pedaço de malware projetado para executar silenciosamente uma vez aberto. Os adversários geralmente fornecem instruções visuais para ajudar as vítimas a contornar o Gatekeeper. As instruções orientam os usuários a clicar com o botão direito do mouse no arquivo CrackInstall e selecionar "Abrir" para contornar a medida de segurança. Após a execução, o ladrão começa a trabalhar imediatamente, substituindo componentes-chave no aplicativo LedgerLive. Especificamente, ele tem como alvo arquivos como App.tsx, PairMyNano.tsx e ProtectDiscoverBody.tsx, substituindo-os por versões maliciosas. Esse processo efetivamente cria um clone do aplicativo LedgerLive original. O clone malicioso é projetado para imitar a aparência e a funcionalidade do aplicativo legítimo, dificultando que os usuários detectem o comprometimento. Principais características Phishing para Frases Semente Um recurso crítico do aplicativo LedgerLive infectado é sua capacidade de exibir uma janela de phishing. Essa janela solicita que os usuários insiram suas frases-semente, um conjunto de palavras usadas para recuperar carteiras de criptomoedas. O aplicativo fornece uma mensagem enganosa para criar uma falsa sensação de segurança, encorajando os usuários a divulgar suas informações confidenciais. Mensagem de phishing: “Sua frase secreta é a lista secreta de palavras que você fez backup quando configurou sua carteira pela primeira vez. O Ledger não mantém uma cópia da sua frase de recuperação.” Transmissão de dados para servidores de comando e controle Após capturar as frases-semente, o malware desofusca o servidor de Comando e Controle (C2) e transmite os dados para http://159[.]65[.]193[.]64:8080/statistics. Este servidor primário recebe as informações sensíveis, que os invasores podem então explorar. Além disso, o malware envia informações do usuário e status de execução para dois outros servidores: http://77[.]221[.]151[.]29:8080/statistics_v2 e http://77[.]221[.]151[.]29:8080/statistics_v5. Essa abordagem multicamadas para exfiltração de dados garante que os invasores recebam informações abrangentes sobre os sistemas infectados. Conclusão Nossa análise do Atomic Stealer, particularmente sua capacidade de mirar e substituir o aplicativo LedgerLive, revelou suas capacidades avançadas. O clone do LedgerLive imita o aplicativo real, dificultando que os usuários detectem o comprometimento. Ao registrar todas as interações do usuário, os invasores podem capturar informações confidenciais, como frases-semente, que são cruciais para acessar carteiras de criptomoedas. Para se proteger, sempre baixe software de fontes oficiais, evite clicar em links suspeitos e use ferramentas de segurança robustas como o CleanMyMac X com para detectar e bloquear tais ameaças. Moonlock Engine IoCs Diferença entre o aplicativo LedgerLive infectado e o original: GitHub Resumo 304145c8c242644a7aa866383bdac3c169f944ea8c6656b663c223da1359fbb9 SHA256 Instalação do DMGCrack 0822cf5c34341d124164b1c89889dedc405034e40fd0c8a219859a2561a289ee SHA256 Mach-O 5c9e197c4e7752e6a15fc9077fa41dc78ac5a737ae73a01ddb6b6fc6aadd1f1c SHA256 Componente malicioso do aplicativo LedgerLive App.tsx 8c23db010886261cb27a5fbaa45502586f4031cc60bda3a8df778d94a3335888 SHA256 Componente malicioso do aplicativo LedgerLivePairMyNano.tsx 9d5bcbdc139561951256a43cc05dda3e18da99ffd200975bbf0732e90a97c710 SHA256 Componente malicioso do aplicativo LedgerLiveProtectDiscoverBody.tsx 1e86fd2688e7d0086e243194504318c125a5a7c8a1ef6f42bf39bd90deba793b SHA256 Componente malicioso do aplicativo LedgerLiveapp.asar
