paint-brush
Suivi d'Atomic Stealer sur macOS : un malware sophistiqué remplace l'application LedgerLivepar@moonlock
2,855 lectures
2,855 lectures

Suivi d'Atomic Stealer sur macOS : un malware sophistiqué remplace l'application LedgerLive

par Moonlock (by MacPaw)4m2024/08/24
Read on Terminal Reader

Trop long; Pour lire

La nouvelle tactique d'Atomic Stealer consiste à remplacer l'application légitime LedgerLive par un clone malveillant sans que l'utilisateur ne s'en aperçoive. Le malware utilise un outil de phishing pour inciter les utilisateurs à divulguer des informations sensibles. Il transmet ensuite les données au serveur Command and Control et les envoie à d'autres serveurs.
featured image - Suivi d'Atomic Stealer sur macOS : un malware sophistiqué remplace l'application LedgerLive
Moonlock (by MacPaw) HackerNoon profile picture

Auteur : Artem Chumak, ingénieur de recherche sur les logiciels malveillants chez Moonlock by MacPaw

Introduction

Dans notre Laboratoire Moonlock , nous avons suivi de près l'évolution du voleur Atomic. Ce malware a retenu notre attention en raison de son développement rapide et des fonctionnalités sophistiquées qu'il utilise. Une fonctionnalité particulière, que nous avons précédemment mise en évidence dans notre Publication X (Twitter) , se distingue par sa capacité avancée à remplacer l'application légitime LedgerLive par un clone malveillant. Dans cet article, nous approfondissons cette fonctionnalité et ses implications.

Suivi et analyse

Notre équipe surveille en permanence les forums Darknet et les canaux Telegram utilisés par les acteurs malveillants. Cette activité nous permet de rester informés des derniers développements et tactiques avant qu'ils ne se propagent parmi les utilisateurs. En infiltrant ces canaux, nous obtenons des informations en temps réel sur les dernières mises à jour des cybermenaces.


L'une des principales sources d'information a été le canal Telegram exploité par le groupe à l'origine du voleur d'AMOS. Ce canal facilite non seulement la vente des logiciel malveillant mais fournit également des mises à jour sur son développement et son déploiement. En suivant les discussions au sein de ce canal, nous avons pu documenter l'évolution du Voleur d'atomes et comprendre sa dynamique.

Figure 1. Chronologie de l'évolution d'AMOS grâce au télégramme de l'opérateur

En fait, les publications régulières de l'opérateur donnent un aperçu des développements et des tactiques à venir, nous permettant d'anticiper les changements potentiels. De plus, nous avons appris le coût de la version particulière d'Atomic Stealer.

Figure 2. Capture d'écran de la chaîne Telegram d'AMOS où le voleur est vendu pour 3 000 $ (traduit du russe)


Un jour, alors que nous surveillions le canal Telegram de l'opérateur AMOS, nous sommes tombés sur une publicité mettant en avant une nouvelle fonctionnalité. Cette nouvelle fonctionnalité consiste à remplacer l'application LedgerLive par un clone malveillant sans que l'utilisateur ne s'en aperçoive. De plus, toutes les actions de l'utilisateur avec l'application - telles que l'ouverture, la fermeture, la saisie de la phrase de départ et l'envoi de la phrase de départ - sont enregistrées dans un canal Telegram distinct créé par le bot à des fins de surveillance.


Cette fonctionnalité est proposée sous la forme d'un module unique conçu pour les clients réguliers avec un trafic stable. Le module lui-même est gratuit, mais les opérateurs facturent des frais de 30 % pour le solde de chaque phrase de départ collectée.

Figure 3. Publicité de la chaîne Telegram du cybercriminel

Chaîne d'infection de l'application LedgerLive

Nous nous sommes particulièrement intéressés à cette version d'Atomic Stealer, qui cible principalement l'application LedgerLive. LedgerLive est une application largement utilisée pour gérer les portefeuilles de crypto-monnaies, offrant aux utilisateurs un moyen sûr et pratique de gérer leurs actifs numériques. Par conséquent, en raison de sa popularité et de la valeur élevée des actifs qu'elle gère, elle est devenue une cible lucrative pour les cybercriminels.

Figure 4. La page principale de l'application Ledger Live Crypto Wallet

Examinons le processus d'infection, qui commence généralement lorsqu'un utilisateur télécharge un programme d'installation malveillant déguisé en CrackInstall.dmg. À l'intérieur de ce fichier apparemment inoffensif se trouve le voleur Mach-O, un malware conçu pour s'exécuter silencieusement une fois ouvert.


Les adversaires fournissent souvent des instructions visuelles pour aider les victimes à contourner Gatekeeper. Les instructions guident les utilisateurs pour faire un clic droit sur le fichier CrackInstall et sélectionner « Ouvrir » pour contourner la mesure de sécurité.

Figure 5. Fenêtre d'installation trompeuse de CrackInstall.dmg

Une fois l'exécution terminée, le voleur se met immédiatement au travail, remplaçant les composants clés de l'application LedgerLive.

Figure 6. Contenu extrait du fichier malveillant Mach-o.
Plus précisément, il cible des fichiers tels que App.tsx, PairMyNano.tsx et ProtectDiscoverBody.tsx, en les remplaçant par des versions malveillantes. Ce processus crée en fait un clone de l'application LedgerLive d'origine. Le clone malveillant est conçu pour imiter l'apparence et les fonctionnalités de l'application légitime, ce qui rend difficile pour les utilisateurs de détecter la compromission.

Figure 7. Chaîne d'infection de l'application LedgerLive

Caractéristiques principales

Phrases de démarrage hameçonnées

L’une des caractéristiques essentielles de l’application LedgerLive infectée est sa capacité à afficher une fenêtre de phishing. Cette fenêtre invite les utilisateurs à saisir leurs phrases de départ, un ensemble de mots utilisés pour récupérer les portefeuilles de cryptomonnaies. L’application fournit un message trompeur pour créer un faux sentiment de sécurité, encourageant les utilisateurs à divulguer leurs informations sensibles.

Message d'hameçonnage :

« Votre phrase secrète est la liste secrète de mots que vous avez sauvegardée lors de la première configuration de votre portefeuille. Ledger ne conserve pas de copie de votre phrase de récupération. »

Figure 8.  Un extrait de Phrases de démarrage de phishing

Transmission de données aux serveurs de commande et de contrôle

Après avoir capturé les phrases de départ, le malware désobfusque le serveur de commande et de contrôle (C2) et transmet les données à http://159[.]65[.]193[.]64:8080/statistics. Ce serveur principal reçoit les informations sensibles, que les attaquants peuvent ensuite exploiter.

Figure 9. Un extrait de la transmission des données de la victime à un serveur C2

De plus, le malware envoie des informations sur l'utilisateur et son statut d'exécution à deux autres serveurs : http://77[.]221[.]151[.]29:8080/statistics_v2 et http://77[.]221[.]151[.]29:8080/statistics_v5. Cette approche multicouche de l'exfiltration de données garantit que les attaquants reçoivent des informations complètes sur les systèmes infectés.

Figure 10. Un extrait de la transmission de l’état d’exécution à un serveur C2.

Conclusion

Notre analyse de l'Atomic Stealer, en particulier sa capacité à cibler et à remplacer l'application LedgerLive, a révélé ses capacités avancées. Le clone de LedgerLive imite l'application réelle, ce qui rend difficile pour les utilisateurs de détecter la compromission. En enregistrant toutes les interactions des utilisateurs, les attaquants peuvent capturer des informations sensibles, telles que les phrases de départ, qui sont cruciales pour accéder aux portefeuilles de cryptomonnaies.


Pour vous protéger, téléchargez toujours des logiciels provenant de sources officielles, évitez de cliquer sur des liens suspects et utilisez des outils de sécurité robustes comme CleanMyMac X avec Moonlock Engine pour détecter et bloquer ces menaces.

IoC

Différence entre l'application LedgerLive infectée et l'application LedgerLive originale : GitHub Gist

304145c8c242644a7aa866383bdac3c169f944ea8c6656b663c223da1359fbb9

SHA256

Installation de DMGCrack

0822cf5c34341d124164b1c89889dedc405034e40fd0c8a219859a2561a289ee

SHA256

Mach-O

5c9e197c4e7752e6a15fc9077fa41dc78ac5a737ae73a01ddb6b6fc6aadd1f1c

SHA256

Composant d'application LedgerLive malveillant App.tsx

8c23db010886261cb27a5fbaa45502586f4031cc60bda3a8df778d94a3335888

SHA256

Composant d'application LedgerLive malveillant PairMyNano.tsx

9d5bcbdc139561951256a43cc05dda3e18da99ffd200975bbf0732e90a97c710

SHA256

Composant d'application LedgerLive malveillantProtectDiscoverBody.tsx

1e86fd2688e7d0086e243194504318c125a5a7c8a1ef6f42bf39bd90deba793b

SHA256

Composant d'application LedgerLive malveillantapp.asar