Отслеживание Atomic Stealer на macOS: сложная вредоносная программа, заменяющая приложение LedgerLive

Автор: Артем Чумак, инженер-исследователь вредоносных программ в Moonlock by MacPaw

Введение

В нашем Лаборатория Moonlock , мы внимательно следили за развитием Atomic Stealer. Эта вредоносная программа привлекла наше внимание из-за ее быстрого развития и сложных функций, которые она использует. Одна конкретная функция, которую мы ранее выделили в нашем X (Твиттер) пост , выделяется своей расширенной возможностью замены легитимного приложения LedgerLive вредоносным клоном. В этой статье мы более подробно рассмотрим эту функцию и ее последствия.

Мониторинг и анализ

Наша команда постоянно отслеживает форумы Darknet и каналы Telegram, используемые злоумышленниками. Эта деятельность позволяет нам быть в курсе последних событий и тактик до того, как они распространятся среди пользователей. Проникая в эти каналы, мы получаем информацию в режиме реального времени о последних обновлениях в области киберугроз.

Одним из больших источников информации был канал Telegram, управляемый группой, стоящей за AMOS-стиллером. Этот канал не только способствует продаже вредоносное ПО но также предоставляет обновления по его разработке и развертыванию. Отслеживая обсуждения в этом канале, мы смогли задокументировать эволюцию Атомный похититель и понять его динамику.

Фактически, регулярные посты оператора дают представление о будущих разработках и тактиках, позволяя нам предвидеть потенциальные изменения. Кроме того, мы узнали о стоимости конкретной версии Atomic Stealer.

Однажды, отслеживая канал Telegram оператора AMOS, мы наткнулись на рекламу, в которой рассказывалось о новой функции. Эта новая функция подразумевает замену приложения LedgerLive вредоносным клоном без ведома пользователя. Кроме того, все действия пользователя с приложением — открытие, закрытие, ввод seed-фразы и отправка seed-фразы — регистрируются в отдельном канале Telegram, созданном ботом для целей мониторинга.

Этот функционал предлагается как уникальный модуль, предназначенный для постоянных клиентов со стабильным трафиком. Сам модуль бесплатный, но операторы взимают комиссию в размере 30% за остаток каждой собранной seed-фразы.

Цепочка заражения приложения LedgerLive

Мы были особенно заинтересованы и, следовательно, получили и проанализировали эту версию Atomic Stealer, которая в первую очередь нацелена на приложение LedgerLive. LedgerLive — это широко используемое приложение для управления криптовалютными кошельками, предоставляющее пользователям безопасный и удобный способ управления их цифровыми активами. Следовательно, из-за своей популярности и высокой стоимости активов, которыми он управляет, он стал прибыльной целью для киберпреступников.

Давайте рассмотрим процесс заражения, который обычно начинается, когда пользователь загружает вредоносный установщик, замаскированный под CrackInstall.dmg. Внутри этого, казалось бы, безобидного файла находится Mach-O-stealer, вредоносная программа, разработанная для скрытного выполнения после открытия.

Злоумышленники часто предоставляют визуальные инструкции, помогающие жертвам обойти Gatekeeper. Инструкции предлагают пользователям щелкнуть правой кнопкой мыши по файлу CrackInstall и выбрать «Открыть», чтобы обойти меры безопасности.

После запуска вредоносная программа немедленно приступает к работе, заменяя ключевые компоненты в приложении LedgerLive.

В частности, он нацелен на такие файлы, как App.tsx, PairMyNano.tsx и ProtectDiscoverBody.tsx, заменяя их вредоносными версиями. Этот процесс фактически создает клон оригинального приложения LedgerLive. Вредоносный клон предназначен для имитации внешнего вида и функциональности легитимного приложения, что затрудняет обнаружение взлома пользователями.

Основные характеристики

Фишинг с целью получения исходных фраз

Одной из важнейших особенностей зараженного приложения LedgerLive является его способность отображать фишинговое окно. Это окно предлагает пользователям ввести свои seed-фразы, набор слов, используемых для восстановления криптовалютных кошельков. Приложение предоставляет вводящее в заблуждение сообщение, чтобы создать ложное чувство безопасности, побуждая пользователей раскрывать свою конфиденциальную информацию.

Фишинговое сообщение:

«Ваша секретная фраза — это секретный список слов, резервную копию которого вы сделали при первой настройке кошелька. Ledger не хранит копию вашей фразы восстановления».

Передача данных на серверы управления и контроля

После захвата начальных фраз вредоносная программа деобфусцирует сервер управления и контроля (C2) и передает данные на http://159[.]65[.]193[.]64:8080/statistics. Этот основной сервер получает конфиденциальную информацию, которую затем могут использовать злоумышленники.

Кроме того, вредоносная программа отправляет информацию о пользователе и статус выполнения на два других сервера: http://77[.]221[.]151[.]29:8080/statistics_v2 и http://77[.]221[.]151[.]29:8080/statistics_v5. Этот многоуровневый подход к извлечению данных гарантирует, что злоумышленники получат исчерпывающую информацию о зараженных системах.

Заключение

Наш анализ Atomic Stealer, в частности его способности нацеливаться на приложение LedgerLive и заменять его, выявил его передовые возможности. Клон LedgerLive имитирует настоящее приложение, что затрудняет обнаружение взлома пользователями. Регистрируя все взаимодействия пользователей, злоумышленники могут захватывать конфиденциальную информацию, такую как начальные фразы, которые имеют решающее значение для доступа к криптовалютным кошелькам.

Чтобы защитить себя, всегда загружайте программное обеспечение из официальных источников, избегайте перехода по подозрительным ссылкам и используйте надежные инструменты безопасности, такие как CleanMyMac X с Moonlock Engine, для обнаружения и блокировки подобных угроз.

IoC

Разница между зараженным и оригинальным приложением LedgerLive: GitHub Суть