Theo dõi Atomic Stealer trên macOS: Phần mềm độc hại tinh vi thay thế ứng dụng LedgerLive

Tác giả: Artem Chumak, Kỹ sư nghiên cứu phần mềm độc hại tại Moonlock của MacPaw

Giới thiệu

Trong chúng tôi Phòng thí nghiệm Moonlock , chúng tôi đã theo dõi chặt chẽ quá trình phát triển của Atomic stealer. Phần mềm độc hại này đã thu hút sự chú ý của chúng tôi do sự phát triển nhanh chóng và các tính năng tinh vi mà nó sử dụng. Một tính năng cụ thể, mà chúng tôi đã nêu bật trước đây trong Bài đăng X (Twitter) , nổi bật với khả năng tiên tiến thay thế ứng dụng LedgerLive hợp pháp bằng bản sao độc hại. Trong bài viết này, chúng tôi sẽ đi sâu hơn vào tính năng này và những tác động của nó.

Giám sát và Phân tích

Nhóm của chúng tôi liên tục theo dõi các diễn đàn Darknet và kênh Telegram được các tác nhân đe dọa sử dụng. Hoạt động này cho phép chúng tôi luôn cập nhật về những diễn biến và chiến thuật mới nhất trước khi chúng lan truyền trong số người dùng. Bằng cách xâm nhập vào các kênh này, chúng tôi có được thông tin chi tiết theo thời gian thực về các bản cập nhật mới nhất về các mối đe dọa mạng.

Một trong những nguồn thông tin tuyệt vời là kênh Telegram do nhóm đứng sau kẻ đánh cắp AMOS điều hành. Kênh này không chỉ tạo điều kiện thuận lợi cho việc bán phần mềm độc hại nhưng cũng cung cấp thông tin cập nhật về sự phát triển và triển khai của nó. Bằng cách theo dõi các cuộc thảo luận trong kênh này, chúng tôi đã có thể ghi lại sự phát triển của Kẻ đánh cắp nguyên tử và hiểu được động lực của nó.

Trên thực tế, các bài đăng thường xuyên của nhà điều hành cung cấp thông tin chi tiết về các diễn biến và chiến thuật trong tương lai, cho phép chúng tôi dự đoán những thay đổi tiềm ẩn. Ngoài ra, chúng tôi còn biết được chi phí của phiên bản Atomic Stealer cụ thể.

Một ngày nọ, khi đang theo dõi kênh Telegram của nhà điều hành AMOS, chúng tôi tình cờ thấy một quảng cáo nêu bật một chức năng mới. Tính năng mới này liên quan đến việc thay thế ứng dụng LedgerLive bằng một bản sao độc hại mà người dùng không hề hay biết. Hơn nữa, tất cả các hành động của người dùng với ứng dụng - chẳng hạn như mở, đóng, nhập cụm từ hạt giống và gửi cụm từ hạt giống - đều được ghi lại vào một kênh Telegram riêng do bot tạo ra cho mục đích theo dõi.

Chức năng này được cung cấp như một mô-đun độc đáo được thiết kế cho khách hàng thường xuyên có lưu lượng truy cập ổn định. Bản thân mô-đun này miễn phí, nhưng các nhà điều hành tính phí 30% cho số dư của mỗi cụm từ hạt giống được thu thập.

Chuỗi lây nhiễm của ứng dụng LedgerLive

Chúng tôi đặc biệt quan tâm và do đó đã thu thập và phân tích phiên bản Atomic Stealer này, chủ yếu nhắm vào ứng dụng LedgerLive. LedgerLive là một ứng dụng được sử dụng rộng rãi để quản lý ví tiền điện tử, cung cấp cho người dùng một cách an toàn và thuận tiện để xử lý tài sản kỹ thuật số của họ. Do đó, do tính phổ biến và giá trị cao của tài sản mà nó quản lý, nó đã trở thành mục tiêu béo bở cho tội phạm mạng.

Hãy cùng xem xét quá trình lây nhiễm, thường bắt đầu khi người dùng tải xuống trình cài đặt độc hại được ngụy trang dưới dạng CrackInstall.dmg. Bên trong tệp có vẻ vô hại này là Mach-O stealer, một phần mềm độc hại được thiết kế để thực thi âm thầm sau khi mở.

Kẻ tấn công thường cung cấp hướng dẫn trực quan để giúp nạn nhân vượt qua Gatekeeper. Hướng dẫn hướng dẫn người dùng nhấp chuột phải vào tệp CrackInstall và chọn "Mở" để vượt qua biện pháp bảo mật.

Sau khi thực hiện, kẻ đánh cắp sẽ ngay lập tức hành động, thay thế các thành phần chính trong ứng dụng LedgerLive.

Cụ thể, nó nhắm vào các tệp như App.tsx, PairMyNano.tsx và ProtectDiscoverBody.tsx, thay thế chúng bằng các phiên bản độc hại. Quá trình này thực sự tạo ra một bản sao của ứng dụng LedgerLive gốc. Bản sao độc hại được thiết kế để bắt chước giao diện và chức năng của ứng dụng hợp pháp, khiến người dùng khó phát hiện ra sự xâm phạm.

Các tính năng chính

Lừa đảo để lấy cụm từ hạt giống

Một tính năng quan trọng của ứng dụng LedgerLive bị nhiễm là khả năng hiển thị cửa sổ lừa đảo. Cửa sổ này nhắc người dùng nhập cụm từ hạt giống của họ, một tập hợp các từ được sử dụng để khôi phục ví tiền điện tử. Ứng dụng cung cấp một thông điệp gây hiểu lầm để tạo ra cảm giác an toàn giả tạo, khuyến khích người dùng tiết lộ thông tin nhạy cảm của họ.

Tin nhắn lừa đảo:

“Cụm từ bí mật của bạn là danh sách bí mật các từ mà bạn đã sao lưu khi lần đầu thiết lập ví. Ledger không lưu giữ bản sao cụm từ khôi phục của bạn.”

Truyền dữ liệu đến máy chủ chỉ huy và điều khiển

Sau khi nắm bắt được các cụm từ hạt giống, phần mềm độc hại sẽ giải mã máy chủ Command and Control (C2) và truyền dữ liệu đến http://159[.]65[.]193[.]64:8080/statistics. Máy chủ chính này nhận được thông tin nhạy cảm, sau đó kẻ tấn công có thể khai thác.

Ngoài ra, phần mềm độc hại gửi thông tin người dùng và trạng thái thực thi đến hai máy chủ khác: http://77[.]221[.]151[.]29:8080/statistics_v2 và http://77[.]221[.]151[.]29:8080/statistics_v5. Phương pháp tiếp cận nhiều lớp này để trích xuất dữ liệu đảm bảo rằng kẻ tấn công nhận được thông tin toàn diện về các hệ thống bị nhiễm.

Phần kết luận

Phân tích của chúng tôi về Atomic Stealer, đặc biệt là khả năng nhắm mục tiêu và thay thế ứng dụng LedgerLive, đã tiết lộ các khả năng tiên tiến của nó. Bản sao LedgerLive bắt chước ứng dụng thực, khiến người dùng khó phát hiện ra sự xâm phạm. Bằng cách ghi lại tất cả các tương tác của người dùng, kẻ tấn công có thể nắm bắt thông tin nhạy cảm, chẳng hạn như cụm từ hạt giống, rất quan trọng để truy cập vào ví tiền điện tử.

Để bảo vệ bản thân, hãy luôn tải xuống phần mềm từ các nguồn chính thức, tránh nhấp vào các liên kết đáng ngờ và sử dụng các công cụ bảo mật mạnh mẽ như CleanMyMac X với Moonlock Engine để phát hiện và chặn các mối đe dọa như vậy.

IoC

Sự khác biệt giữa ứng dụng LedgerLive gốc và ứng dụng bị nhiễm: GitHub Gist