Артем Чумак, инженер-исследователь вредоносных программ в Moonlock by MacPaw Автор: Введение В нашем , мы внимательно следили за развитием Atomic Stealer. Эта вредоносная программа привлекла наше внимание из-за ее быстрого развития и сложных функций, которые она использует. Одна конкретная функция, которую мы ранее выделили в нашем , выделяется своей расширенной возможностью замены легитимного приложения LedgerLive вредоносным клоном. В этой статье мы более подробно рассмотрим эту функцию и ее последствия. Лаборатория Moonlock X (Твиттер) пост Мониторинг и анализ Наша команда постоянно отслеживает форумы Darknet и каналы Telegram, используемые злоумышленниками. Эта деятельность позволяет нам быть в курсе последних событий и тактик до того, как они распространятся среди пользователей. Проникая в эти каналы, мы получаем информацию в режиме реального времени о последних обновлениях в области киберугроз. Одним из больших источников информации был канал Telegram, управляемый группой, стоящей за AMOS-стиллером. Этот канал не только способствует продаже но также предоставляет обновления по его разработке и развертыванию. Отслеживая обсуждения в этом канале, мы смогли задокументировать эволюцию и понять его динамику. вредоносное ПО Атомный похититель Фактически, регулярные посты оператора дают представление о будущих разработках и тактиках, позволяя нам предвидеть потенциальные изменения. Кроме того, мы узнали о стоимости конкретной версии Atomic Stealer. Однажды, отслеживая канал Telegram оператора AMOS, мы наткнулись на рекламу, в которой рассказывалось о новой функции. Эта новая функция подразумевает замену приложения LedgerLive вредоносным клоном без ведома пользователя. Кроме того, все действия пользователя с приложением — открытие, закрытие, ввод seed-фразы и отправка seed-фразы — регистрируются в отдельном канале Telegram, созданном ботом для целей мониторинга. Этот функционал предлагается как уникальный модуль, предназначенный для постоянных клиентов со стабильным трафиком. Сам модуль бесплатный, но операторы взимают комиссию в размере 30% за остаток каждой собранной seed-фразы. Цепочка заражения приложения LedgerLive Мы были особенно заинтересованы и, следовательно, получили и проанализировали эту версию Atomic Stealer, которая в первую очередь нацелена на приложение LedgerLive. LedgerLive — это широко используемое приложение для управления криптовалютными кошельками, предоставляющее пользователям безопасный и удобный способ управления их цифровыми активами. Следовательно, из-за своей популярности и высокой стоимости активов, которыми он управляет, он стал прибыльной целью для киберпреступников. Давайте рассмотрим процесс заражения, который обычно начинается, когда пользователь загружает вредоносный установщик, замаскированный под CrackInstall.dmg. Внутри этого, казалось бы, безобидного файла находится Mach-O-stealer, вредоносная программа, разработанная для скрытного выполнения после открытия. Злоумышленники часто предоставляют визуальные инструкции, помогающие жертвам обойти Gatekeeper. Инструкции предлагают пользователям щелкнуть правой кнопкой мыши по файлу CrackInstall и выбрать «Открыть», чтобы обойти меры безопасности. После запуска вредоносная программа немедленно приступает к работе, заменяя ключевые компоненты в приложении LedgerLive. В частности, он нацелен на такие файлы, как App.tsx, PairMyNano.tsx и ProtectDiscoverBody.tsx, заменяя их вредоносными версиями. Этот процесс фактически создает клон оригинального приложения LedgerLive. Вредоносный клон предназначен для имитации внешнего вида и функциональности легитимного приложения, что затрудняет обнаружение взлома пользователями. Основные характеристики Фишинг с целью получения исходных фраз Одной из важнейших особенностей зараженного приложения LedgerLive является его способность отображать фишинговое окно. Это окно предлагает пользователям ввести свои seed-фразы, набор слов, используемых для восстановления криптовалютных кошельков. Приложение предоставляет вводящее в заблуждение сообщение, чтобы создать ложное чувство безопасности, побуждая пользователей раскрывать свою конфиденциальную информацию. Фишинговое сообщение: «Ваша секретная фраза — это секретный список слов, резервную копию которого вы сделали при первой настройке кошелька. Ledger не хранит копию вашей фразы восстановления». Передача данных на серверы управления и контроля После захвата начальных фраз вредоносная программа деобфусцирует сервер управления и контроля (C2) и передает данные на http://159[.]65[.]193[.]64:8080/statistics. Этот основной сервер получает конфиденциальную информацию, которую затем могут использовать злоумышленники. Кроме того, вредоносная программа отправляет информацию о пользователе и статус выполнения на два других сервера: http://77[.]221[.]151[.]29:8080/statistics_v2 и http://77[.]221[.]151[.]29:8080/statistics_v5. Этот многоуровневый подход к извлечению данных гарантирует, что злоумышленники получат исчерпывающую информацию о зараженных системах. Заключение Наш анализ Atomic Stealer, в частности его способности нацеливаться на приложение LedgerLive и заменять его, выявил его передовые возможности. Клон LedgerLive имитирует настоящее приложение, что затрудняет обнаружение взлома пользователями. Регистрируя все взаимодействия пользователей, злоумышленники могут захватывать конфиденциальную информацию, такую как начальные фразы, которые имеют решающее значение для доступа к криптовалютным кошелькам. Чтобы защитить себя, всегда загружайте программное обеспечение из официальных источников, избегайте перехода по подозрительным ссылкам и используйте надежные инструменты безопасности, такие как CleanMyMac X с для обнаружения и блокировки подобных угроз. Moonlock Engine, IoC Разница между зараженным и оригинальным приложением LedgerLive: GitHub Суть 304145c8c242644a7aa866383bdac3c169f944ea8c6656b663c223da1359fbb9 SHA256 DMGCrackInstall 0822cf5c34341d124164b1c89889dedc405034e40fd0c8a219859a2561a289ee SHA256 Мачо 5c9e197c4e7752e6a15fc9077fa41dc78ac5a737ae73a01ddb6b6fc6aadd1f1c SHA256 Вредоносный компонент приложения LedgerLive App.tsx 8c23db010886261cb27a5fbaa45502586f4031cc60bda3a8df778d94a3335888 SHA256 Вредоносный LedgerLive App ComponentPairMyNano.tsx 9d5bcbdc139561951256a43cc05dda3e18da99ffd200975bbf0732e90a97c710 SHA256 Вредоносный LedgerLive App ComponentProtectDiscoverBody.tsx 1e86fd2688e7d0086e243194504318c125a5a7c8a1ef6f42bf39bd90deba793b SHA256 Вредоносный LedgerLive App Componentapp.asar
