paint-brush
Theo dõi Atomic Stealer trên macOS: Phần mềm độc hại tinh vi thay thế ứng dụng LedgerLivetừ tác giả@moonlock
2,855 lượt đọc
2,855 lượt đọc

Theo dõi Atomic Stealer trên macOS: Phần mềm độc hại tinh vi thay thế ứng dụng LedgerLive

từ tác giả Moonlock (by MacPaw)4m2024/08/24
Read on Terminal Reader

dài quá đọc không nổi

Chiến thuật mới của Atomic Stealer bao gồm thay thế ứng dụng LedgerLive hợp lệ bằng bản sao độc hại mà người dùng không hề hay biết. Phần mềm độc hại sử dụng công cụ lừa đảo để lừa người dùng cung cấp thông tin nhạy cảm. Sau đó, nó truyền dữ liệu đến máy chủ Command and Control và gửi đến các máy chủ khác.
featured image - Theo dõi Atomic Stealer trên macOS: Phần mềm độc hại tinh vi thay thế ứng dụng LedgerLive
Moonlock (by MacPaw) HackerNoon profile picture

Tác giả: Artem Chumak, Kỹ sư nghiên cứu phần mềm độc hại tại Moonlock của MacPaw

Giới thiệu

Trong chúng tôi Phòng thí nghiệm Moonlock , chúng tôi đã theo dõi chặt chẽ quá trình phát triển của Atomic stealer. Phần mềm độc hại này đã thu hút sự chú ý của chúng tôi do sự phát triển nhanh chóng và các tính năng tinh vi mà nó sử dụng. Một tính năng cụ thể, mà chúng tôi đã nêu bật trước đây trong Bài đăng X (Twitter) , nổi bật với khả năng tiên tiến thay thế ứng dụng LedgerLive hợp pháp bằng bản sao độc hại. Trong bài viết này, chúng tôi sẽ đi sâu hơn vào tính năng này và những tác động của nó.

Giám sát và Phân tích

Nhóm của chúng tôi liên tục theo dõi các diễn đàn Darknet và kênh Telegram được các tác nhân đe dọa sử dụng. Hoạt động này cho phép chúng tôi luôn cập nhật về những diễn biến và chiến thuật mới nhất trước khi chúng lan truyền trong số người dùng. Bằng cách xâm nhập vào các kênh này, chúng tôi có được thông tin chi tiết theo thời gian thực về các bản cập nhật mới nhất về các mối đe dọa mạng.


Một trong những nguồn thông tin tuyệt vời là kênh Telegram do nhóm đứng sau kẻ đánh cắp AMOS điều hành. Kênh này không chỉ tạo điều kiện thuận lợi cho việc bán phần mềm độc hại nhưng cũng cung cấp thông tin cập nhật về sự phát triển và triển khai của nó. Bằng cách theo dõi các cuộc thảo luận trong kênh này, chúng tôi đã có thể ghi lại sự phát triển của Kẻ đánh cắp nguyên tử và hiểu được động lực của nó.

Hình 1. Dòng thời gian của sự phát triển AMOS do Telegram của nhà điều hành

Trên thực tế, các bài đăng thường xuyên của nhà điều hành cung cấp thông tin chi tiết về các diễn biến và chiến thuật trong tương lai, cho phép chúng tôi dự đoán những thay đổi tiềm ẩn. Ngoài ra, chúng tôi còn biết được chi phí của phiên bản Atomic Stealer cụ thể.

Hình 2. Ảnh chụp màn hình từ kênh Telegram của AMOS, nơi kẻ đánh cắp được bán với giá 3.000 đô la (Dịch từ tiếng Nga)


Một ngày nọ, khi đang theo dõi kênh Telegram của nhà điều hành AMOS, chúng tôi tình cờ thấy một quảng cáo nêu bật một chức năng mới. Tính năng mới này liên quan đến việc thay thế ứng dụng LedgerLive bằng một bản sao độc hại mà người dùng không hề hay biết. Hơn nữa, tất cả các hành động của người dùng với ứng dụng - chẳng hạn như mở, đóng, nhập cụm từ hạt giống và gửi cụm từ hạt giống - đều được ghi lại vào một kênh Telegram riêng do bot tạo ra cho mục đích theo dõi.


Chức năng này được cung cấp như một mô-đun độc đáo được thiết kế cho khách hàng thường xuyên có lưu lượng truy cập ổn định. Bản thân mô-đun này miễn phí, nhưng các nhà điều hành tính phí 30% cho số dư của mỗi cụm từ hạt giống được thu thập.

Hình 3. Quảng cáo từ kênh Telegram của tội phạm mạng

Chuỗi lây nhiễm của ứng dụng LedgerLive

Chúng tôi đặc biệt quan tâm và do đó đã thu thập và phân tích phiên bản Atomic Stealer này, chủ yếu nhắm vào ứng dụng LedgerLive. LedgerLive là một ứng dụng được sử dụng rộng rãi để quản lý ví tiền điện tử, cung cấp cho người dùng một cách an toàn và thuận tiện để xử lý tài sản kỹ thuật số của họ. Do đó, do tính phổ biến và giá trị cao của tài sản mà nó quản lý, nó đã trở thành mục tiêu béo bở cho tội phạm mạng.

Hình 4. Trang chính của ứng dụng Ledger Live Crypto Wallet

Hãy cùng xem xét quá trình lây nhiễm, thường bắt đầu khi người dùng tải xuống trình cài đặt độc hại được ngụy trang dưới dạng CrackInstall.dmg. Bên trong tệp có vẻ vô hại này là Mach-O stealer, một phần mềm độc hại được thiết kế để thực thi âm thầm sau khi mở.


Kẻ tấn công thường cung cấp hướng dẫn trực quan để giúp nạn nhân vượt qua Gatekeeper. Hướng dẫn hướng dẫn người dùng nhấp chuột phải vào tệp CrackInstall và chọn "Mở" để vượt qua biện pháp bảo mật.

Hình 5. Cửa sổ cài đặt lừa đảo của CrackInstall.dmg

Sau khi thực hiện, kẻ đánh cắp sẽ ngay lập tức hành động, thay thế các thành phần chính trong ứng dụng LedgerLive.

Hình 6. Nội dung được trích xuất từ tệp Mach-o độc hại.
Cụ thể, nó nhắm vào các tệp như App.tsx, PairMyNano.tsx và ProtectDiscoverBody.tsx, thay thế chúng bằng các phiên bản độc hại. Quá trình này thực sự tạo ra một bản sao của ứng dụng LedgerLive gốc. Bản sao độc hại được thiết kế để bắt chước giao diện và chức năng của ứng dụng hợp pháp, khiến người dùng khó phát hiện ra sự xâm phạm.

Hình 7. Chuỗi lây nhiễm của ứng dụng LedgerLive

Các tính năng chính

Lừa đảo để lấy cụm từ hạt giống

Một tính năng quan trọng của ứng dụng LedgerLive bị nhiễm là khả năng hiển thị cửa sổ lừa đảo. Cửa sổ này nhắc người dùng nhập cụm từ hạt giống của họ, một tập hợp các từ được sử dụng để khôi phục ví tiền điện tử. Ứng dụng cung cấp một thông điệp gây hiểu lầm để tạo ra cảm giác an toàn giả tạo, khuyến khích người dùng tiết lộ thông tin nhạy cảm của họ.

Tin nhắn lừa đảo:

“Cụm từ bí mật của bạn là danh sách bí mật các từ mà bạn đã sao lưu khi lần đầu thiết lập ví. Ledger không lưu giữ bản sao cụm từ khôi phục của bạn.”

Hình 8. Một đoạn trích của Phishing cho Seed Phrases

Truyền dữ liệu đến máy chủ chỉ huy và điều khiển

Sau khi nắm bắt được các cụm từ hạt giống, phần mềm độc hại sẽ giải mã máy chủ Command and Control (C2) và truyền dữ liệu đến http://159[.]65[.]193[.]64:8080/statistics. Máy chủ chính này nhận được thông tin nhạy cảm, sau đó kẻ tấn công có thể khai thác.

Hình 9. Một đoạn trích về việc truyền dữ liệu của nạn nhân đến máy chủ C2

Ngoài ra, phần mềm độc hại gửi thông tin người dùng và trạng thái thực thi đến hai máy chủ khác: http://77[.]221[.]151[.]29:8080/statistics_v2 và http://77[.]221[.]151[.]29:8080/statistics_v5. Phương pháp tiếp cận nhiều lớp này để trích xuất dữ liệu đảm bảo rằng kẻ tấn công nhận được thông tin toàn diện về các hệ thống bị nhiễm.

Hình 10. Một đoạn trích về việc truyền trạng thái thực thi đến máy chủ C2.

Phần kết luận

Phân tích của chúng tôi về Atomic Stealer, đặc biệt là khả năng nhắm mục tiêu và thay thế ứng dụng LedgerLive, đã tiết lộ các khả năng tiên tiến của nó. Bản sao LedgerLive bắt chước ứng dụng thực, khiến người dùng khó phát hiện ra sự xâm phạm. Bằng cách ghi lại tất cả các tương tác của người dùng, kẻ tấn công có thể nắm bắt thông tin nhạy cảm, chẳng hạn như cụm từ hạt giống, rất quan trọng để truy cập vào ví tiền điện tử.


Để bảo vệ bản thân, hãy luôn tải xuống phần mềm từ các nguồn chính thức, tránh nhấp vào các liên kết đáng ngờ và sử dụng các công cụ bảo mật mạnh mẽ như CleanMyMac X với Moonlock Engine để phát hiện và chặn các mối đe dọa như vậy.

IoC

Sự khác biệt giữa ứng dụng LedgerLive gốc và ứng dụng bị nhiễm: GitHub Gist

304145c8c242644a7aa866383bdac3c169f944ea8c6656b663c223da1359fbb9

SHA256

Cài đặt DMGCrack

0822cf5c34341d124164b1c89889dedc405034e40fd0c8a219859a2561a289ee

SHA256

Mach-O

5c9e197c4e7752e6a15fc9077fa41dc78ac5a737ae73a01ddb6b6fc6aadd1f1c

SHA256

Thành phần ứng dụng LedgerLive độc hại App.tsx

8c23db010886261cb27a5fbaa45502586f4031cc60bda3a8df778d94a3335888

SHA256

Ứng dụng LedgerLive độc hại ComponentPairMyNano.tsx

9d5bcbdc139561951256a43cc05dda3e18da99ffd200975bbf0732e90a97c710

SHA256

Thành phần ứng dụng LedgerLive độc hạiProtectDiscoverBody.tsx

1e86fd2688e7d0086e243194504318c125a5a7c8a1ef6f42bf39bd90deba793b

SHA256

Thành phần ứng dụng LedgerLive độc hạiapp.asar