paint-brush
Rastreando o Atomic Stealer no macOS: malware sofisticado substituindo o aplicativo LedgerLivepor@moonlock
2,855 leituras
2,855 leituras

Rastreando o Atomic Stealer no macOS: malware sofisticado substituindo o aplicativo LedgerLive

por Moonlock (by MacPaw)4m2024/08/24
Read on Terminal Reader

Muito longo; Para ler

As novas táticas do Atomic Stealer incluem substituir o aplicativo legítimo LedgerLive por um clone malicioso sem que o usuário perceba. O malware usa uma ferramenta de phishing para enganar os usuários e fazê-los fornecer informações confidenciais. Em seguida, ele transmite os dados para o servidor de Comando e Controle e os envia para outros servidores.
featured image - Rastreando o Atomic Stealer no macOS: malware sofisticado substituindo o aplicativo LedgerLive
Moonlock (by MacPaw) HackerNoon profile picture

Autor: Artem Chumak, engenheiro de pesquisa de malware na Moonlock by MacPaw

Introdução

Em nosso Laboratório Moonlock , temos monitorado de perto a evolução do ladrão atômico. Esse malware atraiu nossa atenção devido ao seu rápido desenvolvimento e aos recursos sofisticados que ele emprega. Um recurso em particular, que destacamos anteriormente em nosso Postagem X (Twitter) , destaca-se por sua capacidade avançada de substituir o aplicativo legítimo LedgerLive por um clone malicioso. Neste artigo, nos aprofundamos mais nesse recurso e suas implicações.

Monitoramento e Análise

Nossa equipe monitora continuamente fóruns Darknet e canais Telegram usados por agentes de ameaças. Essa atividade nos permite ficar informados sobre os últimos desenvolvimentos e táticas antes que eles se espalhem entre os usuários. Ao nos infiltrar nesses canais, obtemos insights em tempo real sobre as últimas atualizações em ameaças cibernéticas.


Uma das grandes fontes de informação tem sido o canal Telegram operado pelo grupo por trás do ladrão AMOS. Este canal não só facilita a venda do malware mas também fornece atualizações sobre seu desenvolvimento e implantação. Ao rastrear as discussões neste canal, conseguimos documentar a evolução do Ladrão atômico e entender sua dinâmica.

Figura 1. Linha do tempo da evolução do AMOS devido ao telegrama do operador

Na verdade, as postagens regulares do operador dão insights sobre desenvolvimentos e táticas futuras, permitindo-nos antecipar mudanças potenciais. Além disso, aprendemos sobre o custo da versão específica do Atomic Stealer.

Figura 2. Captura de tela do canal AMOS Telegram onde o ladrão está sendo vendido por US$ 3.000 (traduzido do russo)


Um dia, enquanto monitorávamos o canal do Telegram da operadora AMOS, nos deparamos com um anúncio destacando uma nova funcionalidade. Esse novo recurso envolve a substituição do aplicativo LedgerLive por um clone malicioso sem que o usuário perceba. Além disso, todas as ações do usuário com o aplicativo - como abrir, fechar, inserir a frase semente e enviar a frase semente - são registradas em um canal separado do Telegram criado pelo bot para fins de monitoramento.


Esta funcionalidade é oferecida como um módulo exclusivo projetado para clientes regulares com tráfego estável. O módulo em si é gratuito, mas as operadoras cobram uma taxa de 30% para o saldo de cada frase semente coletada.

Figura 3. Anúncio do canal Telegram do cibercriminoso

Cadeia de infecção do aplicativo LedgerLive

Estávamos particularmente interessados e, portanto, obtivemos e analisamos esta versão do Atomic Stealer que tem como alvo principal o aplicativo LedgerLive. O LedgerLive é um aplicativo amplamente usado para gerenciar carteiras de criptomoedas, fornecendo aos usuários uma maneira segura e conveniente de lidar com seus ativos digitais. Consequentemente, devido à sua popularidade e ao alto valor dos ativos que gerencia, ele se tornou um alvo lucrativo para criminosos cibernéticos.

Figura 4. A página principal do Ledger Live Crypto Wallet App

Vamos examinar o processo de infecção, que normalmente começa quando um usuário baixa um instalador malicioso disfarçado como CrackInstall.dmg. Dentro desse arquivo aparentemente inofensivo está o Mach-O stealer, um pedaço de malware projetado para executar silenciosamente uma vez aberto.


Os adversários geralmente fornecem instruções visuais para ajudar as vítimas a contornar o Gatekeeper. As instruções orientam os usuários a clicar com o botão direito do mouse no arquivo CrackInstall e selecionar "Abrir" para contornar a medida de segurança.

Figura 5. Janela de instalação enganosa do CrackInstall.dmg

Após a execução, o ladrão começa a trabalhar imediatamente, substituindo componentes-chave no aplicativo LedgerLive.

Figura 6. Conteúdo extraído do arquivo malicioso Mach-o.
Especificamente, ele tem como alvo arquivos como App.tsx, PairMyNano.tsx e ProtectDiscoverBody.tsx, substituindo-os por versões maliciosas. Esse processo efetivamente cria um clone do aplicativo LedgerLive original. O clone malicioso é projetado para imitar a aparência e a funcionalidade do aplicativo legítimo, dificultando que os usuários detectem o comprometimento.

Figura 7. Cadeia de infecção do aplicativo LedgerLive

Principais características

Phishing para Frases Semente

Um recurso crítico do aplicativo LedgerLive infectado é sua capacidade de exibir uma janela de phishing. Essa janela solicita que os usuários insiram suas frases-semente, um conjunto de palavras usadas para recuperar carteiras de criptomoedas. O aplicativo fornece uma mensagem enganosa para criar uma falsa sensação de segurança, encorajando os usuários a divulgar suas informações confidenciais.

Mensagem de phishing:

“Sua frase secreta é a lista secreta de palavras que você fez backup quando configurou sua carteira pela primeira vez. O Ledger não mantém uma cópia da sua frase de recuperação.”

Figura 8. Um trecho de Phishing para Frases Semente

Transmissão de dados para servidores de comando e controle

Após capturar as frases-semente, o malware desofusca o servidor de Comando e Controle (C2) e transmite os dados para http://159[.]65[.]193[.]64:8080/statistics. Este servidor primário recebe as informações sensíveis, que os invasores podem então explorar.

Figura 9. Um trecho de Transmitindo Dados da Vítima para um servidor C2

Além disso, o malware envia informações do usuário e status de execução para dois outros servidores: http://77[.]221[.]151[.]29:8080/statistics_v2 e http://77[.]221[.]151[.]29:8080/statistics_v5. Essa abordagem multicamadas para exfiltração de dados garante que os invasores recebam informações abrangentes sobre os sistemas infectados.

Figura 10. Um trecho de Transmitindo Status de Execução para um servidor C2.

Conclusão

Nossa análise do Atomic Stealer, particularmente sua capacidade de mirar e substituir o aplicativo LedgerLive, revelou suas capacidades avançadas. O clone do LedgerLive imita o aplicativo real, dificultando que os usuários detectem o comprometimento. Ao registrar todas as interações do usuário, os invasores podem capturar informações confidenciais, como frases-semente, que são cruciais para acessar carteiras de criptomoedas.


Para se proteger, sempre baixe software de fontes oficiais, evite clicar em links suspeitos e use ferramentas de segurança robustas como o CleanMyMac X com Moonlock Engine para detectar e bloquear tais ameaças.

IoCs

Diferença entre o aplicativo LedgerLive infectado e o original: GitHub Resumo

304145c8c242644a7aa866383bdac3c169f944ea8c6656b663c223da1359fbb9

SHA256

Instalação do DMGCrack

0822cf5c34341d124164b1c89889dedc405034e40fd0c8a219859a2561a289ee

SHA256

Mach-O

5c9e197c4e7752e6a15fc9077fa41dc78ac5a737ae73a01ddb6b6fc6aadd1f1c

SHA256

Componente malicioso do aplicativo LedgerLive App.tsx

8c23db010886261cb27a5fbaa45502586f4031cc60bda3a8df778d94a3335888

SHA256

Componente malicioso do aplicativo LedgerLivePairMyNano.tsx

9d5bcbdc139561951256a43cc05dda3e18da99ffd200975bbf0732e90a97c710

SHA256

Componente malicioso do aplicativo LedgerLiveProtectDiscoverBody.tsx

1e86fd2688e7d0086e243194504318c125a5a7c8a1ef6f42bf39bd90deba793b

SHA256

Componente malicioso do aplicativo LedgerLiveapp.asar