paint-brush
追踪 macOS 上的原子窃取程序:复杂的恶意软件正在取代 LedgerLive 应用程序经过@moonlock
2,855 讀數
2,855 讀數

追踪 macOS 上的原子窃取程序:复杂的恶意软件正在取代 LedgerLive 应用程序

经过 Moonlock (by MacPaw)4m2024/08/24
Read on Terminal Reader

太長; 讀書

Atomic Stealer 的新策略包括在用户不知情的情况下用恶意克隆替换合法的 LedgerLive 应用程序。该恶意软件使用网络钓鱼工具诱骗用户提供敏感信息。然后它将数据传输到命令和控制服务器并将其发送到其他服务器。
featured image - 追踪 macOS 上的原子窃取程序:复杂的恶意软件正在取代 LedgerLive 应用程序
Moonlock (by MacPaw) HackerNoon profile picture

作者: Artem Chumak,Moonlock by MacPaw 恶意软件研究工程师

介绍

在我们的月锁实验室,我们一直在密切关注 Atomic 窃取程序的发展。该恶意软件因其快速发展和所采用的复杂功能而引起了我们的注意。我们之前在X(推特)帖子,以其用恶意克隆替换合法 LedgerLive 应用程序的高级功能而脱颖而出。在本文中,我们将深入探讨此功能及其影响。

监控与分析

我们的团队持续监控威胁行为者使用的暗网论坛和 Telegram 频道。通过此活动,我们可以在最新发展和策略在用户中传播之前及时了解它们。通过渗透这些渠道,我们可以实时了解网络威胁的最新动态。


其中一个重要信息来源是 AMOS 窃取者背后的组织运营的 Telegram 频道。该频道不仅促进了恶意软件还提供有关其开发和部署的最新信息。通过跟踪此频道内的讨论,我们能够记录原子窃取者并了解其动态。

图 1. 因运营商电报而演变的 AMOS 时间线

事实上,该运营商的定期帖子提供了有关未来发展和策略的见解,使我们能够预测潜在的变化。此外,我们还了解了特定版本 Atomic Stealer 的成本。

图 2. AMOS Telegram 频道的截图,其中窃取软件的售价为 3,000 美元(俄语翻译)


有一天,在监控 AMOS 运营商的 Telegram 频道时,我们偶然发现了一则广告,其中重点介绍了一项新功能。这项新功能涉及在用户不知情的情况下用恶意克隆替换 LedgerLive 应用程序。此外,用户对该应用程序的所有操作(例如打开、关闭、输入种子短语和发送种子短语)都会记录到机器人为监控目的创建的单独 Telegram 频道中。


此功能是专为流量稳定的老客户设计的独特模块。模块本身是免费的,但运营商会针对收集到的每个种子短语的余额收取 30% 的费用。

图 3. 来自网络犯罪分子 Telegram 频道的广告

LedgerLive 应用程序的感染链

我们对此版本特别感兴趣,因此获取并分析了主要针对 LedgerLive 应用程序的 Atomic Stealer。LedgerLive 是一款广泛使用的加密货币钱包管理应用程序,为用户提供了一种安全便捷的方式来处理他们的数字资产。因此,由于其受欢迎程度及其管理的资产价值高,它已成为网络犯罪分子的有利可图的目标。

图 4. Ledger Live 加密钱包应用程序主页

让我们来看看感染过程,感染过程通常始于用户下载伪装成 CrackInstall.dmg 的恶意安装程序。这个看似无害的文件中隐藏着 Mach-O 窃取程序,这是一种恶意软件,一旦打开就会静默执行。


攻击者通常会提供视觉说明来帮助受害者绕过 Gatekeeper。这些说明会指导用户右键单击 CrackInstall 文件并选择“打开”以绕过安全措施。

图5.CrackInstall.dmg的欺骗性安装窗口

一旦执行,窃取程序就会立即开始工作,替换 LedgerLive 应用程序中的关键组件。

图 6.从恶意 Mach-o 文件中提取的内容。
具体来说,它会攻击 App.tsx、PairMyNano.tsx 和 ProtectDiscoverBody.tsx 等文件,并用恶意版本替换它们。此过程实际上会创建原始 LedgerLive 应用程序的克隆。恶意克隆旨在模仿合法应用程序的外观和功能,使用户难以检测到入侵。

图 7. LedgerLive 应用程序的感染链

主要特点

针对种子短语的网络钓鱼

受感染的 LedgerLive 应用程序的一个关键功能是它能够显示网络钓鱼窗口。此窗口提示用户输入他们的种子短语,这是一组用于恢复加密货币钱包的单词。该应用程序提供了误导性消息来营造虚假的安全感,鼓励用户泄露他们的敏感信息。

钓鱼邮件:

“您的密码是您首次设置钱包时备份的秘密单词列表。Ledger 不会保留您的恢复短语的副本。”

图 8.  种子短语网络钓鱼代码片段

数据传输到命令和控制服务器

捕获种子短语后,恶意软件会对命令和控制 (C2) 服务器进行反混淆,并将数据传输到 http://159[.]65[.]193[.]64:8080/statistics。此主服务器接收敏感信息,然后攻击者可以利用这些信息。

图 9. 将受害者的数据传送到 C2 服务器的片段

此外,该恶意软件还会将用户信息和执行状态发送到另外两个服务器:http://77[.]221[.]151[.]29:8080/statistics_v2 和 http://77[.]221[.]151[.]29:8080/statistics_v5。这种多层数据泄露方法可确保攻击者收到有关受感染系统的全面信息。

图 10.向 C2 服务器传输执行状态的片段。

结论

我们对 Atomic Stealer 的分析,尤其是它针对并替换 LedgerLive 应用程序的能力,揭示了它的高级功能。LedgerLive 克隆版模仿了真正的应用程序,使用户难以检测到入侵。通过记录所有用户交互,攻击者可以捕获敏感信息,例如种子短语,这对于访问加密货币钱包至关重要。


为了保护自己,请始终从官方来源下载软件,避免点击可疑链接,并使用带有Moonlock Engine的 CleanMyMac X 等强大的安全工具来检测和阻止此类威胁。

IoC

受感染的 LedgerLive 应用程序与原始 LedgerLive 应用程序的差异: GitHub 要点

304145c8c242644a7aa866383bdac3c169f944ea8c6656b663c223da1359fbb9

SHA256

DMGC破解安装

0822cf5c34341d124164b1c89889dedc405034e40fd0c8a219859a2561a289ee

SHA256

马赫-O

5c9e197c4e7752e6a15fc9077fa41dc78ac5a737ae73a01ddb6b6fc6aadd1f1c

SHA256

恶意 LedgerLive 应用组件 App.tsx

8c23db010886261cb27a5fbaa45502586f4031cc60bda3a8df778d94a3335888

SHA256

恶意 LedgerLive 应用程序组件PairMyNano.tsx

9d5bcbdc139561951256a43cc05dda3e18da99ffd200975bbf0732e90a97c710

SHA256

恶意 LedgerLive 应用程序组件ProtectDiscoverBody.tsx

1e86fd2688e7d0086e243194504318c125a5a7c8a1ef6f42bf39bd90deba793b

SHA256

恶意 LedgerLive 应用程序组件app.asar