paint-brush
Seguimiento de Atomic Stealer en macOS: malware sofisticado que reemplaza la aplicación LedgerLivepor@moonlock
2,855 lecturas
2,855 lecturas

Seguimiento de Atomic Stealer en macOS: malware sofisticado que reemplaza la aplicación LedgerLive

por Moonlock (by MacPaw)4m2024/08/24
Read on Terminal Reader

Demasiado Largo; Para Leer

Las nuevas tácticas de Atomic Stealer incluyen reemplazar la aplicación legítima LedgerLive con un clon malicioso sin que el usuario se dé cuenta. El malware utiliza una herramienta de phishing para engañar a los usuarios y lograr que proporcionen información confidencial. Luego transmite los datos al servidor de Comando y Control y los envía a otros servidores.
featured image - Seguimiento de Atomic Stealer en macOS: malware sofisticado que reemplaza la aplicación LedgerLive
Moonlock (by MacPaw) HackerNoon profile picture

Autor: Artem Chumak, ingeniero de investigación de malware en Moonlock by MacPaw

Introducción

En nuestro Laboratorio Moonlock Hemos estado siguiendo de cerca la evolución del ladrón Atomic. Este malware ha llamado nuestra atención debido a su rápido desarrollo y las sofisticadas características que emplea. Una característica en particular, que ya destacamos en nuestro artículo X (Twitter) publicación , destaca por su capacidad avanzada de reemplazar la aplicación legítima LedgerLive con un clon malicioso. En este artículo, profundizamos en esta función y sus implicaciones.

Monitoreo y análisis

Nuestro equipo monitorea continuamente los foros de Darknet y los canales de Telegram que utilizan los actores de amenazas. Esta actividad nos permite estar informados sobre los últimos avances y tácticas antes de que se difundan entre los usuarios. Al infiltrarnos en estos canales, obtenemos información en tiempo real sobre las últimas actualizaciones en materia de amenazas cibernéticas.


Una de las grandes fuentes de información ha sido el canal de Telegram operado por el grupo detrás del ladrón AMOS. Este canal no solo facilita la venta de las criptomonedas, sino que también facilita la venta de las criptomonedas. Programa malicioso pero también proporciona actualizaciones sobre su desarrollo e implementación. Al seguir las discusiones dentro de este canal, hemos podido documentar la evolución de la Ladrón atómico y comprender su dinámica.

Figura 1. Cronología de la evolución de AMOS gracias al telegrama del operador

De hecho, las publicaciones periódicas del operador brindan información sobre desarrollos y tácticas futuros, lo que nos permite anticipar posibles cambios. Además, aprendimos sobre el costo de la versión particular de Atomic Stealer.

Figura 2. Captura de pantalla del canal de Telegram de AMOS donde se vende el ladrón por $3000 (traducido del ruso)


Un día, mientras monitoreábamos el canal de Telegram del operador AMOS, nos topamos con un anuncio que destacaba una nueva funcionalidad. Esta nueva función implica reemplazar la aplicación LedgerLive con un clon malicioso sin que el usuario se dé cuenta. Además, todas las acciones del usuario con la aplicación (como abrir, cerrar, ingresar la frase semilla y enviar la frase semilla) se registran en un canal de Telegram separado creado por el bot con fines de monitoreo.


Esta funcionalidad se ofrece como un módulo exclusivo diseñado para clientes habituales con tráfico estable. El módulo en sí es gratuito, pero los operadores cobran una tarifa del 30 % por el saldo de cada frase semilla recolectada.

Figura 3. Publicidad del canal de Telegram del cibercriminal

Cadena de infección de la aplicación LedgerLive

Nos interesó especialmente y, por lo tanto, obtuvimos y analizamos esta versión de Atomic Stealer que se dirige principalmente a la aplicación LedgerLive. LedgerLive es una aplicación ampliamente utilizada para administrar billeteras de criptomonedas, que brinda a los usuarios una forma segura y conveniente de manejar sus activos digitales. En consecuencia, debido a su popularidad y al alto valor de los activos que administra, se ha convertido en un objetivo lucrativo para los ciberdelincuentes.

Figura 4. La página principal de la aplicación Ledger Live Crypto Wallet

Examinemos el proceso de infección, que normalmente comienza cuando un usuario descarga un instalador malicioso camuflado en CrackInstall.dmg. Dentro de este archivo aparentemente inofensivo se encuentra el ladrón Mach-O, un programa malicioso diseñado para ejecutarse de forma silenciosa una vez abierto.


Los atacantes suelen proporcionar instrucciones visuales para ayudar a las víctimas a eludir Gatekeeper. Las instrucciones indican a los usuarios que deben hacer clic derecho en el archivo CrackInstall y seleccionar "Abrir" para eludir la medida de seguridad.

Figura 5. Ventana de instalación engañosa de CrackInstall.dmg

Tras la ejecución, el ladrón se pone a trabajar inmediatamente y reemplaza componentes clave en la aplicación LedgerLive.

Figura 6. Contenido extraído del archivo malicioso Mach-o.
En concreto, ataca archivos como App.tsx, PairMyNano.tsx y ProtectDiscoverBody.tsx y los reemplaza por versiones maliciosas. Este proceso crea un clon de la aplicación LedgerLive original. El clon malicioso está diseñado para imitar la apariencia y la funcionalidad de la aplicación legítima, lo que dificulta que los usuarios detecten la vulnerabilidad.

Figura 7. Cadena de infección de la aplicación LedgerLive

Características principales

Phishing de frases semilla

Una característica fundamental de la aplicación LedgerLive infectada es su capacidad de mostrar una ventana de phishing. Esta ventana solicita a los usuarios que ingresen sus frases iniciales, un conjunto de palabras que se utilizan para recuperar billeteras de criptomonedas. La aplicación proporciona un mensaje engañoso para crear una falsa sensación de seguridad, alentando a los usuarios a divulgar su información confidencial.

Mensaje de phishing:

“Su frase secreta es la lista secreta de palabras que respaldó cuando configuró su billetera por primera vez. Ledger no guarda una copia de su frase de recuperación”.

Figura 8. Un fragmento de phishing para frases semilla

Transmisión de datos a servidores de comando y control

Después de capturar las frases semilla, el malware desofusca el servidor de Comando y Control (C2) y transmite los datos a http://159[.]65[.]193[.]64:8080/statistics. Este servidor principal recibe la información confidencial, que luego los atacantes pueden explotar.

Figura 9. Un fragmento de la transmisión de datos de la víctima a un servidor C2

Además, el malware envía información del usuario y el estado de ejecución a otros dos servidores: http://77[.]221[.]151[.]29:8080/statistics_v2 y http://77[.]221[.]151[.]29:8080/statistics_v5. Este enfoque de múltiples capas para la exfiltración de datos garantiza que los atacantes reciban información completa sobre los sistemas infectados.

Figura 10. Un fragmento de la transmisión del estado de ejecución a un servidor C2.

Conclusión

Nuestro análisis de Atomic Stealer, en particular su capacidad para atacar y reemplazar la aplicación LedgerLive, ha revelado sus capacidades avanzadas. El clon de LedgerLive imita la aplicación real, lo que dificulta que los usuarios detecten la vulnerabilidad. Al registrar todas las interacciones de los usuarios, los atacantes pueden capturar información confidencial, como frases clave, que son cruciales para acceder a las billeteras de criptomonedas.


Para protegerse, descargue siempre software de fuentes oficiales, evite hacer clic en enlaces sospechosos y utilice herramientas de seguridad sólidas como CleanMyMac X con Moonlock Engine para detectar y bloquear dichas amenazas.

IoC

Diferencias entre la aplicación LedgerLive infectada y la original: Gist de GitHub

304145c8c242644a7aa866383bdac3c169f944ea8c6656b663c223da1359fbb9

SHA256

Instalación de DMGCrack

0822cf5c34341d124164b1c89889dedc405034e40fd0c8a219859a2561a289ee

SHA256

Macho

5c9e197c4e7752e6a15fc9077fa41dc78ac5a737ae73a01ddb6b6fc6aadd1f1c

SHA256

Componente malicioso de la aplicación LedgerLive App.tsx

8c23db010886261cb27a5fbaa45502586f4031cc60bda3a8df778d94a3335888

SHA256

Componente malicioso de la aplicación LedgerLive PairMyNano.tsx

9d5bcbdc139561951256a43cc05dda3e18da99ffd200975bbf0732e90a97c710

SHA256

Componente de aplicación LedgerLive malicioso ProtectDiscoverBody.tsx

1e86fd2688e7d0086e243194504318c125a5a7c8a1ef6f42bf39bd90deba793b

SHA256

Componente malicioso de la aplicación LedgerLiveapp.asar