macOS'ta Atomic Stealer'ı Takip Etme: LedgerLive Uygulamasını Değiştiren Karmaşık Kötü Amaçlı Yazılım

Yazar: Artem Chumak, Moonlock by MacPaw'da Kötü Amaçlı Yazılım Araştırma Mühendisi

giriiş

Bizim Moonlock Laboratuvarı , Atomic Stealler'ın evrimini yakından izliyoruz. Bu kötü amaçlı yazılım, hızlı gelişimi ve kullandığı karmaşık özellikler nedeniyle dikkatimizi çekti. Daha önce vurguladığımız belirli bir özellik X (Twitter) gönderisi , meşru LedgerLive uygulamasını kötü amaçlı bir klonla değiştirme konusundaki gelişmiş yeteneğiyle öne çıkıyor. Bu makalede, bu özelliği ve etkilerini daha derinlemesine inceliyoruz.

İzleme ve Analiz

Ekibimiz tehdit aktörleri tarafından kullanılan Darknet forumlarını ve Telegram kanallarını sürekli olarak izler. Bu etkinlik, kullanıcılar arasında yayılmadan önce en son gelişmeler ve taktikler hakkında bilgi sahibi olmamızı sağlar. Bu kanallara sızarak, siber tehditlerdeki en son güncellemeler hakkında gerçek zamanlı içgörüler elde ederiz.

Bilginin en büyük kaynaklarından biri, AMOS hırsızının arkasındaki grup tarafından işletilen Telegram kanalıdır. Bu kanal yalnızca satışını kolaylaştırmakla kalmaz kötü amaçlı yazılım ancak aynı zamanda geliştirme ve dağıtımı hakkında güncellemeler de sağlar. Bu kanaldaki tartışmaları izleyerek, evrimini belgeleyebildik Atom hırsızı ve dinamiklerini anlamak.

Aslında, operatörün düzenli gönderileri gelecekteki gelişmeler ve taktikler hakkında fikir vererek olası değişiklikleri öngörmemizi sağlıyor. Ayrıca, Atomic Stealer'ın belirli sürümünün maliyetini öğrendik.

Bir gün, AMOS operatörünün Telegram kanalını izlerken, yeni bir işlevi vurgulayan bir reklamla karşılaştık. Bu yeni özellik, LedgerLive uygulamasının kullanıcı fark etmeden kötü amaçlı bir klonla değiştirilmesini içeriyor. Ayrıca, uygulamayla ilgili tüm kullanıcı eylemleri - açma, kapatma, başlangıç cümlesini girme ve başlangıç cümlesini gönderme gibi - izleme amacıyla bot tarafından oluşturulan ayrı bir Telegram kanalına kaydedilir.

Bu işlevsellik, istikrarlı trafiğe sahip düzenli müşteriler için tasarlanmış benzersiz bir modül olarak sunulmaktadır. Modülün kendisi ücretsizdir, ancak operatörler toplanan her tohum ifadesinin bakiyesi için %30 ücret talep eder.

LedgerLive Uygulamasının Enfeksiyon Zinciri

Özellikle ilgimizi çekti ve bu nedenle, öncelikle LedgerLive uygulamasını hedef alan Atomic Stealer'ın bu versiyonunu elde ettik ve analiz ettik. LedgerLive, kripto para cüzdanlarını yönetmek için yaygın olarak kullanılan bir uygulamadır ve kullanıcılara dijital varlıklarını yönetmek için güvenli ve rahat bir yol sağlar. Sonuç olarak, popülerliği ve yönettiği varlıkların yüksek değeri nedeniyle, siber suçlular için kazançlı bir hedef haline gelmiştir.

Genellikle bir kullanıcının CrackInstall.dmg olarak gizlenmiş kötü amaçlı bir yükleyiciyi indirmesiyle başlayan enfeksiyon sürecini inceleyelim. Görünüşte zararsız olan bu dosyanın içinde, açıldığında sessizce çalışmak üzere tasarlanmış bir kötü amaçlı yazılım parçası olan Mach-O hırsızı bulunur.

Saldırganlar genellikle kurbanların Gatekeeper'ı atlatmalarına yardımcı olmak için görsel talimatlar sağlar. Talimatlar kullanıcıları CrackInstall dosyasına sağ tıklamaya ve güvenlik önlemini atlatmak için "Aç"ı seçmeye yönlendirir.

Hırsız, çalıştırıldıktan sonra hemen işe koyulur ve LedgerLive uygulamasındaki önemli bileşenleri değiştirir.

Özellikle App.tsx, PairMyNano.tsx ve ProtectDiscoverBody.tsx gibi dosyaları hedef alır ve bunları kötü amaçlı sürümlerle değiştirir. Bu işlem etkili bir şekilde orijinal LedgerLive uygulamasının bir klonunu oluşturur. Kötü amaçlı klon, meşru uygulamanın görünümünü ve işlevselliğini taklit edecek şekilde tasarlanmıştır ve kullanıcıların ihlali tespit etmesini zorlaştırır.

Temel Özellikler

Tohum İfadeleri için Kimlik Avı

Enfekte olmuş LedgerLive uygulamasının kritik bir özelliği, bir kimlik avı penceresi görüntüleme yeteneğidir. Bu pencere, kullanıcıları kripto para cüzdanlarını kurtarmak için kullanılan bir dizi kelime olan tohum ifadelerini girmeye yönlendirir. Uygulama, kullanıcıları hassas bilgilerini ifşa etmeye teşvik ederek yanlış bir güvenlik duygusu yaratmak için yanıltıcı bir mesaj sağlar.

Kimlik Avı Mesajı:

"Gizli ifadeniz, cüzdanınızı ilk kurduğunuzda yedeklediğiniz gizli kelime listesidir. Ledger, kurtarma ifadenizin bir kopyasını saklamaz."

Komuta ve Kontrol Sunucularına Veri İletimi

Tohum ifadelerini yakaladıktan sonra, kötü amaçlı yazılım Komuta ve Kontrol (C2) sunucusunu gizler ve verileri http://159[.]65[.]193[.]64:8080/statistics adresine iletir. Bu birincil sunucu, saldırganların daha sonra istismar edebileceği hassas bilgileri alır.

Ek olarak, kötü amaçlı yazılım kullanıcı bilgilerini ve yürütme durumunu iki başka sunucuya gönderir: http://77[.]221[.]151[.]29:8080/statistics_v2 ve http://77[.]221[.]151[.]29:8080/statistics_v5. Veri sızdırmaya yönelik bu çok katmanlı yaklaşım, saldırganların enfekte sistemler hakkında kapsamlı bilgi almasını sağlar.

Çözüm

Atomic Stealer'ın analizimiz, özellikle LedgerLive uygulamasını hedef alma ve değiştirme yeteneği, gelişmiş yeteneklerini ortaya çıkardı. LedgerLive klonu gerçek uygulamayı taklit ederek kullanıcıların ihlali tespit etmesini zorlaştırıyor. Saldırganlar, tüm kullanıcı etkileşimlerini kaydederek, kripto para cüzdanlarına erişim için kritik öneme sahip olan tohum ifadeleri gibi hassas bilgileri ele geçirebiliyor.

Kendinizi korumak için yazılımları her zaman resmi kaynaklardan indirin, şüpheli bağlantılara tıklamaktan kaçının ve bu tür tehditleri tespit edip engellemek için CleanMyMac X with Moonlock Engine gibi güçlü güvenlik araçlarını kullanın.

IoC'ler

Enfekte olmuş ve orijinal LedgerLive uygulamasının farkı: GitHub Özeti