paint-brush
Отслеживание Atomic Stealer на macOS: сложная вредоносная программа, заменяющая приложение LedgerLiveк@moonlock
2,855 чтения
2,855 чтения

Отслеживание Atomic Stealer на macOS: сложная вредоносная программа, заменяющая приложение LedgerLive

к Moonlock (by MacPaw)4m2024/08/24
Read on Terminal Reader

Слишком долго; Читать

Новая тактика Atomic Stealer включает замену легитимного приложения LedgerLive вредоносным клоном без ведома пользователя. Вредоносная программа использует фишинговый инструмент, чтобы обманом заставить пользователей выдать конфиденциальную информацию. Затем она передает данные на сервер управления и контроля и отправляет их на другие серверы.
featured image - Отслеживание Atomic Stealer на macOS: сложная вредоносная программа, заменяющая приложение LedgerLive
Moonlock (by MacPaw) HackerNoon profile picture

Автор: Артем Чумак, инженер-исследователь вредоносных программ в Moonlock by MacPaw

Введение

В нашем Лаборатория Moonlock , мы внимательно следили за развитием Atomic Stealer. Эта вредоносная программа привлекла наше внимание из-за ее быстрого развития и сложных функций, которые она использует. Одна конкретная функция, которую мы ранее выделили в нашем X (Твиттер) пост , выделяется своей расширенной возможностью замены легитимного приложения LedgerLive вредоносным клоном. В этой статье мы более подробно рассмотрим эту функцию и ее последствия.

Мониторинг и анализ

Наша команда постоянно отслеживает форумы Darknet и каналы Telegram, используемые злоумышленниками. Эта деятельность позволяет нам быть в курсе последних событий и тактик до того, как они распространятся среди пользователей. Проникая в эти каналы, мы получаем информацию в режиме реального времени о последних обновлениях в области киберугроз.


Одним из больших источников информации был канал Telegram, управляемый группой, стоящей за AMOS-стиллером. Этот канал не только способствует продаже вредоносное ПО но также предоставляет обновления по его разработке и развертыванию. Отслеживая обсуждения в этом канале, мы смогли задокументировать эволюцию Атомный похититель и понять его динамику.

Рисунок 1. Хронология эволюции AMOS благодаря телеграмме оператора

Фактически, регулярные посты оператора дают представление о будущих разработках и тактиках, позволяя нам предвидеть потенциальные изменения. Кроме того, мы узнали о стоимости конкретной версии Atomic Stealer.

Рисунок 2. Скриншот с Telegram-канала AMOS, где стилер продается за 3000 долларов (перевод с русского)


Однажды, отслеживая канал Telegram оператора AMOS, мы наткнулись на рекламу, в которой рассказывалось о новой функции. Эта новая функция подразумевает замену приложения LedgerLive вредоносным клоном без ведома пользователя. Кроме того, все действия пользователя с приложением — открытие, закрытие, ввод seed-фразы и отправка seed-фразы — регистрируются в отдельном канале Telegram, созданном ботом для целей мониторинга.


Этот функционал предлагается как уникальный модуль, предназначенный для постоянных клиентов со стабильным трафиком. Сам модуль бесплатный, но операторы взимают комиссию в размере 30% за остаток каждой собранной seed-фразы.

Рисунок 3. Реклама с Telegram-канала киберпреступника

Цепочка заражения приложения LedgerLive

Мы были особенно заинтересованы и, следовательно, получили и проанализировали эту версию Atomic Stealer, которая в первую очередь нацелена на приложение LedgerLive. LedgerLive — это широко используемое приложение для управления криптовалютными кошельками, предоставляющее пользователям безопасный и удобный способ управления их цифровыми активами. Следовательно, из-за своей популярности и высокой стоимости активов, которыми он управляет, он стал прибыльной целью для киберпреступников.

Рисунок 4. Главная страница приложения Ledger Live Crypto Wallet

Давайте рассмотрим процесс заражения, который обычно начинается, когда пользователь загружает вредоносный установщик, замаскированный под CrackInstall.dmg. Внутри этого, казалось бы, безобидного файла находится Mach-O-stealer, вредоносная программа, разработанная для скрытного выполнения после открытия.


Злоумышленники часто предоставляют визуальные инструкции, помогающие жертвам обойти Gatekeeper. Инструкции предлагают пользователям щелкнуть правой кнопкой мыши по файлу CrackInstall и выбрать «Открыть», чтобы обойти меры безопасности.

Рисунок 5. Обманное окно установки CrackInstall.dmg

После запуска вредоносная программа немедленно приступает к работе, заменяя ключевые компоненты в приложении LedgerLive.

Рисунок 6. Извлеченное содержимое вредоносного файла Mach-o.
В частности, он нацелен на такие файлы, как App.tsx, PairMyNano.tsx и ProtectDiscoverBody.tsx, заменяя их вредоносными версиями. Этот процесс фактически создает клон оригинального приложения LedgerLive. Вредоносный клон предназначен для имитации внешнего вида и функциональности легитимного приложения, что затрудняет обнаружение взлома пользователями.

Рисунок 7. Цепочка заражения приложения LedgerLive

Основные характеристики

Фишинг с целью получения исходных фраз

Одной из важнейших особенностей зараженного приложения LedgerLive является его способность отображать фишинговое окно. Это окно предлагает пользователям ввести свои seed-фразы, набор слов, используемых для восстановления криптовалютных кошельков. Приложение предоставляет вводящее в заблуждение сообщение, чтобы создать ложное чувство безопасности, побуждая пользователей раскрывать свою конфиденциальную информацию.

Фишинговое сообщение:

«Ваша секретная фраза — это секретный список слов, резервную копию которого вы сделали при первой настройке кошелька. Ledger не хранит копию вашей фразы восстановления».

Рисунок 8. Фрагмент фишинга с использованием начальных фраз

Передача данных на серверы управления и контроля

После захвата начальных фраз вредоносная программа деобфусцирует сервер управления и контроля (C2) и передает данные на http://159[.]65[.]193[.]64:8080/statistics. Этот основной сервер получает конфиденциальную информацию, которую затем могут использовать злоумышленники.

Рисунок 9. Фрагмент передачи данных жертвы на сервер C2

Кроме того, вредоносная программа отправляет информацию о пользователе и статус выполнения на два других сервера: http://77[.]221[.]151[.]29:8080/statistics_v2 и http://77[.]221[.]151[.]29:8080/statistics_v5. Этот многоуровневый подход к извлечению данных гарантирует, что злоумышленники получат исчерпывающую информацию о зараженных системах.

Рисунок 10. Фрагмент передачи статуса выполнения на сервер C2.

Заключение

Наш анализ Atomic Stealer, в частности его способности нацеливаться на приложение LedgerLive и заменять его, выявил его передовые возможности. Клон LedgerLive имитирует настоящее приложение, что затрудняет обнаружение взлома пользователями. Регистрируя все взаимодействия пользователей, злоумышленники могут захватывать конфиденциальную информацию, такую как начальные фразы, которые имеют решающее значение для доступа к криптовалютным кошелькам.


Чтобы защитить себя, всегда загружайте программное обеспечение из официальных источников, избегайте перехода по подозрительным ссылкам и используйте надежные инструменты безопасности, такие как CleanMyMac X с Moonlock Engine, для обнаружения и блокировки подобных угроз.

IoC

Разница между зараженным и оригинальным приложением LedgerLive: GitHub Суть

304145c8c242644a7aa866383bdac3c169f944ea8c6656b663c223da1359fbb9

SHA256

DMGCrackInstall

0822cf5c34341d124164b1c89889dedc405034e40fd0c8a219859a2561a289ee

SHA256

Мачо

5c9e197c4e7752e6a15fc9077fa41dc78ac5a737ae73a01ddb6b6fc6aadd1f1c

SHA256

Вредоносный компонент приложения LedgerLive App.tsx

8c23db010886261cb27a5fbaa45502586f4031cc60bda3a8df778d94a3335888

SHA256

Вредоносный LedgerLive App ComponentPairMyNano.tsx

9d5bcbdc139561951256a43cc05dda3e18da99ffd200975bbf0732e90a97c710

SHA256

Вредоносный LedgerLive App ComponentProtectDiscoverBody.tsx

1e86fd2688e7d0086e243194504318c125a5a7c8a1ef6f42bf39bd90deba793b

SHA256

Вредоносный LedgerLive App Componentapp.asar