Artem Chumak, Moonlock by MacPaw'da Kötü Amaçlı Yazılım Araştırma Mühendisi Yazar: giriiş Bizim , Atomic Stealler'ın evrimini yakından izliyoruz. Bu kötü amaçlı yazılım, hızlı gelişimi ve kullandığı karmaşık özellikler nedeniyle dikkatimizi çekti. Daha önce vurguladığımız belirli bir özellik , meşru LedgerLive uygulamasını kötü amaçlı bir klonla değiştirme konusundaki gelişmiş yeteneğiyle öne çıkıyor. Bu makalede, bu özelliği ve etkilerini daha derinlemesine inceliyoruz. Moonlock Laboratuvarı X (Twitter) gönderisi İzleme ve Analiz Ekibimiz tehdit aktörleri tarafından kullanılan Darknet forumlarını ve Telegram kanallarını sürekli olarak izler. Bu etkinlik, kullanıcılar arasında yayılmadan önce en son gelişmeler ve taktikler hakkında bilgi sahibi olmamızı sağlar. Bu kanallara sızarak, siber tehditlerdeki en son güncellemeler hakkında gerçek zamanlı içgörüler elde ederiz. Bilginin en büyük kaynaklarından biri, AMOS hırsızının arkasındaki grup tarafından işletilen Telegram kanalıdır. Bu kanal yalnızca satışını kolaylaştırmakla kalmaz ancak aynı zamanda geliştirme ve dağıtımı hakkında güncellemeler de sağlar. Bu kanaldaki tartışmaları izleyerek, evrimini belgeleyebildik ve dinamiklerini anlamak. kötü amaçlı yazılım Atom hırsızı Aslında, operatörün düzenli gönderileri gelecekteki gelişmeler ve taktikler hakkında fikir vererek olası değişiklikleri öngörmemizi sağlıyor. Ayrıca, Atomic Stealer'ın belirli sürümünün maliyetini öğrendik. Bir gün, AMOS operatörünün Telegram kanalını izlerken, yeni bir işlevi vurgulayan bir reklamla karşılaştık. Bu yeni özellik, LedgerLive uygulamasının kullanıcı fark etmeden kötü amaçlı bir klonla değiştirilmesini içeriyor. Ayrıca, uygulamayla ilgili tüm kullanıcı eylemleri - açma, kapatma, başlangıç cümlesini girme ve başlangıç cümlesini gönderme gibi - izleme amacıyla bot tarafından oluşturulan ayrı bir Telegram kanalına kaydedilir. Bu işlevsellik, istikrarlı trafiğe sahip düzenli müşteriler için tasarlanmış benzersiz bir modül olarak sunulmaktadır. Modülün kendisi ücretsizdir, ancak operatörler toplanan her tohum ifadesinin bakiyesi için %30 ücret talep eder. LedgerLive Uygulamasının Enfeksiyon Zinciri Özellikle ilgimizi çekti ve bu nedenle, öncelikle LedgerLive uygulamasını hedef alan Atomic Stealer'ın bu versiyonunu elde ettik ve analiz ettik. LedgerLive, kripto para cüzdanlarını yönetmek için yaygın olarak kullanılan bir uygulamadır ve kullanıcılara dijital varlıklarını yönetmek için güvenli ve rahat bir yol sağlar. Sonuç olarak, popülerliği ve yönettiği varlıkların yüksek değeri nedeniyle, siber suçlular için kazançlı bir hedef haline gelmiştir. Genellikle bir kullanıcının CrackInstall.dmg olarak gizlenmiş kötü amaçlı bir yükleyiciyi indirmesiyle başlayan enfeksiyon sürecini inceleyelim. Görünüşte zararsız olan bu dosyanın içinde, açıldığında sessizce çalışmak üzere tasarlanmış bir kötü amaçlı yazılım parçası olan Mach-O hırsızı bulunur. Saldırganlar genellikle kurbanların Gatekeeper'ı atlatmalarına yardımcı olmak için görsel talimatlar sağlar. Talimatlar kullanıcıları CrackInstall dosyasına sağ tıklamaya ve güvenlik önlemini atlatmak için "Aç"ı seçmeye yönlendirir. Hırsız, çalıştırıldıktan sonra hemen işe koyulur ve LedgerLive uygulamasındaki önemli bileşenleri değiştirir. Özellikle App.tsx, PairMyNano.tsx ve ProtectDiscoverBody.tsx gibi dosyaları hedef alır ve bunları kötü amaçlı sürümlerle değiştirir. Bu işlem etkili bir şekilde orijinal LedgerLive uygulamasının bir klonunu oluşturur. Kötü amaçlı klon, meşru uygulamanın görünümünü ve işlevselliğini taklit edecek şekilde tasarlanmıştır ve kullanıcıların ihlali tespit etmesini zorlaştırır. Temel Özellikler Tohum İfadeleri için Kimlik Avı Enfekte olmuş LedgerLive uygulamasının kritik bir özelliği, bir kimlik avı penceresi görüntüleme yeteneğidir. Bu pencere, kullanıcıları kripto para cüzdanlarını kurtarmak için kullanılan bir dizi kelime olan tohum ifadelerini girmeye yönlendirir. Uygulama, kullanıcıları hassas bilgilerini ifşa etmeye teşvik ederek yanlış bir güvenlik duygusu yaratmak için yanıltıcı bir mesaj sağlar. Kimlik Avı Mesajı: "Gizli ifadeniz, cüzdanınızı ilk kurduğunuzda yedeklediğiniz gizli kelime listesidir. Ledger, kurtarma ifadenizin bir kopyasını saklamaz." Komuta ve Kontrol Sunucularına Veri İletimi Tohum ifadelerini yakaladıktan sonra, kötü amaçlı yazılım Komuta ve Kontrol (C2) sunucusunu gizler ve verileri http://159[.]65[.]193[.]64:8080/statistics adresine iletir. Bu birincil sunucu, saldırganların daha sonra istismar edebileceği hassas bilgileri alır. Ek olarak, kötü amaçlı yazılım kullanıcı bilgilerini ve yürütme durumunu iki başka sunucuya gönderir: http://77[.]221[.]151[.]29:8080/statistics_v2 ve http://77[.]221[.]151[.]29:8080/statistics_v5. Veri sızdırmaya yönelik bu çok katmanlı yaklaşım, saldırganların enfekte sistemler hakkında kapsamlı bilgi almasını sağlar. Çözüm Atomic Stealer'ın analizimiz, özellikle LedgerLive uygulamasını hedef alma ve değiştirme yeteneği, gelişmiş yeteneklerini ortaya çıkardı. LedgerLive klonu gerçek uygulamayı taklit ederek kullanıcıların ihlali tespit etmesini zorlaştırıyor. Saldırganlar, tüm kullanıcı etkileşimlerini kaydederek, kripto para cüzdanlarına erişim için kritik öneme sahip olan tohum ifadeleri gibi hassas bilgileri ele geçirebiliyor. Kendinizi korumak için yazılımları her zaman resmi kaynaklardan indirin, şüpheli bağlantılara tıklamaktan kaçının ve bu tür tehditleri tespit edip engellemek için CleanMyMac X with gibi güçlü güvenlik araçlarını kullanın. Moonlock Engine IoC'ler Enfekte olmuş ve orijinal LedgerLive uygulamasının farkı: GitHub Özeti 304145c8c242644a7aa866383bdac3c169f944ea8c6656b663c223da1359fbb9 SHA256 DMGCrackKurulumu 0822cf5c34341d124164b1c89889dedc405034e40fd0c8a219859a2561a289ee SHA256 Maç-O 5c9e197c4e7752e6a15fc9077fa41dc78ac5a737ae73a01ddb6b6fc6aadd1f1c SHA256 Kötü Amaçlı LedgerLive Uygulama Bileşeni App.tsx 8c23db010886261cb27a5fbaa45502586f4031cc60bda3a8df778d94a3335888 SHA256 Kötü Amaçlı LedgerLive Uygulama BileşeniPairMyNano.tsx 9d5bcbdc139561951256a43cc05dda3e18da99ffd200975bbf0732e90a97c710 SHA256 Kötü Amaçlı LedgerLive Uygulama BileşeniProtectDiscoverBody.tsx 1e86fd2688e7d0086e243194504318c125a5a7c8a1ef6f42bf39bd90deba793b SHA256 Kötü Amaçlı LedgerLive Uygulama Bileşeniapp.asar
