paint-brush
मैकओएस पर एटॉमिक स्टीलर को ट्रैक करना: लेजरलाइव ऐप की जगह ले रहा परिष्कृत मैलवेयरद्वारा@moonlock
2,855 रीडिंग
2,855 रीडिंग

मैकओएस पर एटॉमिक स्टीलर को ट्रैक करना: लेजरलाइव ऐप की जगह ले रहा परिष्कृत मैलवेयर

द्वारा Moonlock (by MacPaw)4m2024/08/24
Read on Terminal Reader

बहुत लंबा; पढ़ने के लिए

एटॉमिक स्टीलर की नई रणनीति में वैध लेजर लाइव ऐप को उपयोगकर्ता की जानकारी के बिना दुर्भावनापूर्ण क्लोन से बदलना शामिल है। मैलवेयर उपयोगकर्ताओं को संवेदनशील जानकारी देने के लिए धोखा देने के लिए फ़िशिंग टूल का उपयोग करता है। फिर यह डेटा को कमांड और कंट्रोल सर्वर पर भेजता है और इसे अन्य सर्वरों पर भेजता है।
featured image - मैकओएस पर एटॉमिक स्टीलर को ट्रैक करना: लेजरलाइव ऐप की जगह ले रहा परिष्कृत मैलवेयर
Moonlock (by MacPaw) HackerNoon profile picture

लेखक: आर्टेम चुमाक, मूनलॉक बाय मैकपॉ में मैलवेयर रिसर्च इंजीनियर

परिचय

हमारे में मूनलॉक लैब , हम परमाणु चोर के विकास पर बारीकी से नज़र रख रहे हैं। इस मैलवेयर ने अपने तेज़ विकास और इसमें इस्तेमाल की जाने वाली परिष्कृत विशेषताओं के कारण हमारा ध्यान आकर्षित किया है। एक विशेष विशेषता, जिसे हमने पहले अपने लेख में उजागर किया था X (ट्विटर) पोस्ट , वैध लेजर लाइव ऐप को दुर्भावनापूर्ण क्लोन से बदलने की अपनी उन्नत क्षमता के लिए जाना जाता है। इस लेख में, हम इस सुविधा और इसके निहितार्थों के बारे में गहराई से जानेंगे।

निगरानी और विश्लेषण

हमारी टीम लगातार डार्कनेट फ़ोरम और टेलीग्राम चैनलों पर नज़र रखती है, जिनका इस्तेमाल ख़तरनाक तत्वों द्वारा किया जाता है। यह गतिविधि हमें नवीनतम विकास और रणनीति के बारे में उपयोगकर्ताओं के बीच फैलने से पहले सूचित रहने की अनुमति देती है। इन चैनलों में घुसपैठ करके, हम साइबर खतरों में नवीनतम अपडेट के बारे में वास्तविक समय की जानकारी प्राप्त करते हैं।


सूचना के महान स्रोतों में से एक टेलीग्राम चैनल है जो एएमओएस चोर के पीछे के समूह द्वारा संचालित है। यह चैनल न केवल बिक्री की सुविधा प्रदान करता है मैलवेयर बल्कि इसके विकास और तैनाती पर अपडेट भी प्रदान करता है। इस चैनल के भीतर चर्चाओं को ट्रैक करके, हम इसके विकास को दस्तावेज करने में सक्षम हुए हैं परमाणु चोर और इसकी गतिशीलता को समझें.

चित्र 1. ऑपरेटर के टेलीग्राम के कारण AMOS के विकास की समयरेखा

वास्तव में, ऑपरेटर की नियमित पोस्ट भविष्य के विकास और रणनीति के बारे में जानकारी देती हैं, जिससे हमें संभावित बदलावों का अनुमान लगाने में मदद मिलती है। इसके अतिरिक्त, हमने एटॉमिक स्टीलर के विशेष संस्करण की लागत के बारे में भी जाना।

चित्र 2. एएमओएस टेलीग्राम चैनल से स्क्रीनशॉट जहां स्टीलर को 3,000 डॉलर में बेचा जा रहा है (रूसी से अनुवादित)


एक दिन, एएमओएस ऑपरेटर के टेलीग्राम चैनल की निगरानी करते समय, हमें एक विज्ञापन मिला जिसमें एक नई कार्यक्षमता को उजागर किया गया था। इस नई सुविधा में उपयोगकर्ता की जानकारी के बिना लेजर लाइव ऐप को दुर्भावनापूर्ण क्लोन से बदलना शामिल है। इसके अलावा, एप्लिकेशन के साथ उपयोगकर्ता की सभी क्रियाएँ - जैसे कि खोलना, बंद करना, बीज वाक्यांश दर्ज करना और बीज वाक्यांश भेजना - निगरानी उद्देश्यों के लिए बॉट द्वारा बनाए गए एक अलग टेलीग्राम चैनल में लॉग इन किया जाता है।


यह कार्यक्षमता स्थिर ट्रैफ़िक वाले नियमित ग्राहकों के लिए डिज़ाइन किए गए एक अद्वितीय मॉड्यूल के रूप में पेश की जाती है। मॉड्यूल स्वयं मुफ़्त है, लेकिन ऑपरेटर एकत्रित किए गए प्रत्येक बीज वाक्यांश के शेष के लिए 30% शुल्क लेते हैं।

चित्र 3. साइबर अपराधी के टेलीग्राम चैनल से विज्ञापन

लेजरलाइव ऐप की संक्रमण श्रृंखला

हम विशेष रूप से एटॉमिक स्टीलर के इस संस्करण में रुचि रखते थे और इसलिए, हमने इसे प्राप्त किया और इसका विश्लेषण किया जो मुख्य रूप से लेजर लाइव ऐप को लक्षित करता है। लेजर लाइव क्रिप्टोकरेंसी वॉलेट के प्रबंधन के लिए व्यापक रूप से इस्तेमाल किया जाने वाला एप्लिकेशन है, जो उपयोगकर्ताओं को अपनी डिजिटल संपत्तियों को संभालने का एक सुरक्षित और सुविधाजनक तरीका प्रदान करता है। नतीजतन, इसकी लोकप्रियता और इसके द्वारा प्रबंधित संपत्तियों के उच्च मूल्य के कारण, यह साइबर अपराधियों के लिए एक आकर्षक लक्ष्य बन गया है।

चित्र 4. लेजर लाइव क्रिप्टो वॉलेट ऐप का मुख्य पृष्ठ

आइए संक्रमण प्रक्रिया की जांच करें, जो आमतौर पर तब शुरू होती है जब कोई उपयोगकर्ता CrackInstall.dmg के रूप में प्रच्छन्न एक दुर्भावनापूर्ण इंस्टॉलर डाउनलोड करता है। इस प्रतीत होता है हानिरहित फ़ाइल के अंदर Mach-O चोर है, मैलवेयर का एक टुकड़ा जिसे एक बार खोले जाने के बाद चुपचाप निष्पादित करने के लिए डिज़ाइन किया गया है।


विरोधी अक्सर पीड़ितों को गेटकीपर को बायपास करने में मदद करने के लिए दृश्य निर्देश प्रदान करते हैं। निर्देश उपयोगकर्ताओं को क्रैकइंस्टॉल फ़ाइल पर राइट-क्लिक करने और सुरक्षा उपाय को दरकिनार करने के लिए "ओपन" का चयन करने के लिए मार्गदर्शन करते हैं।

चित्र 5. CrackInstall.dmg की भ्रामक स्थापना विंडो

निष्पादन के बाद, चोर तुरंत काम करना शुरू कर देता है, तथा लेजर लाइव ऐप में प्रमुख घटकों को बदल देता है।

चित्र 6. दुर्भावनापूर्ण Mach-o फ़ाइल से निकाली गई सामग्री.
खास तौर पर, यह App.tsx, PairMyNano.tsx और ProtectDiscoverBody.tsx जैसी फ़ाइलों को लक्षित करता है, और उन्हें दुर्भावनापूर्ण संस्करणों से बदल देता है। यह प्रक्रिया प्रभावी रूप से मूल LedgerLive ऐप का क्लोन बनाती है। दुर्भावनापूर्ण क्लोन को वैध ऐप की उपस्थिति और कार्यक्षमता की नकल करने के लिए डिज़ाइन किया गया है, जिससे उपयोगकर्ताओं के लिए समझौता का पता लगाना मुश्किल हो जाता है।

चित्र 7. लेजरलाइव ऐप की संक्रमण श्रृंखला

प्रमुख विशेषताऐं

बीज वाक्यांशों के लिए फ़िशिंग

संक्रमित लेजर लाइव ऐप की एक महत्वपूर्ण विशेषता फ़िशिंग विंडो प्रदर्शित करने की इसकी क्षमता है। यह विंडो उपयोगकर्ताओं को उनके बीज वाक्यांश दर्ज करने के लिए प्रेरित करती है, जो क्रिप्टोक्यूरेंसी वॉलेट को पुनर्प्राप्त करने के लिए उपयोग किए जाने वाले शब्दों का एक सेट है। ऐप सुरक्षा की झूठी भावना पैदा करने के लिए एक भ्रामक संदेश प्रदान करता है, जिससे उपयोगकर्ता अपनी संवेदनशील जानकारी प्रकट करने के लिए प्रोत्साहित होते हैं।

फ़िशिंग संदेश:

"आपका गुप्त वाक्यांश उन शब्दों की गुप्त सूची है, जिनका आपने पहली बार अपना वॉलेट सेट करते समय बैकअप लिया था। लेजर आपके रिकवरी वाक्यांश की कॉपी नहीं रखता है।"

चित्र 8. बीज वाक्यांशों के लिए फ़िशिंग का एक स्निपेट

कमांड और कंट्रोल सर्वर तक डेटा ट्रांसमिशन

बीज वाक्यांशों को कैप्चर करने के बाद, मैलवेयर कमांड और कंट्रोल (C2) सर्वर को डीओबफस्केट करता है और डेटा को http://159[.]65[.]193[.]64:8080/statistics पर भेजता है। यह प्राथमिक सर्वर संवेदनशील जानकारी प्राप्त करता है, जिसका हमलावर फिर फायदा उठा सकते हैं।

चित्र 9. पीड़ित के डेटा को C2 सर्वर पर प्रेषित करने का एक स्निपेट

इसके अतिरिक्त, मैलवेयर उपयोगकर्ता की जानकारी और निष्पादन स्थिति को दो अन्य सर्वरों पर भेजता है: http://77[.]221[.]151[.]29:8080/statistics_v2 और http://77[.]221[.]151[.]29:8080/statistics_v5. डेटा एक्सफ़िलट्रेशन के लिए यह बहु-स्तरीय दृष्टिकोण सुनिश्चित करता है कि हमलावरों को संक्रमित सिस्टम के बारे में व्यापक जानकारी प्राप्त हो।

चित्र 10. C2 सर्वर पर निष्पादन स्थिति संचारित करने का एक स्निपेट।

निष्कर्ष

एटॉमिक स्टीलर के हमारे विश्लेषण, विशेष रूप से लेजर लाइव ऐप को लक्षित करने और बदलने की इसकी क्षमता, ने इसकी उन्नत क्षमताओं को उजागर किया है। लेजर लाइव क्लोन वास्तविक ऐप की नकल करता है, जिससे उपयोगकर्ताओं के लिए समझौता का पता लगाना मुश्किल हो जाता है। सभी उपयोगकर्ता इंटरैक्शन को लॉग करके, हमलावर संवेदनशील जानकारी, जैसे कि सीड वाक्यांश, को कैप्चर कर सकते हैं, जो क्रिप्टोक्यूरेंसी वॉलेट तक पहुँचने के लिए महत्वपूर्ण हैं।


अपने आप को सुरक्षित रखने के लिए, हमेशा आधिकारिक स्रोतों से ही सॉफ्टवेयर डाउनलोड करें, संदिग्ध लिंक पर क्लिक करने से बचें, तथा ऐसे खतरों का पता लगाने और उन्हें रोकने के लिए क्लीनमाइक मैक एक्स विद मूनलॉक इंजन जैसे मजबूत सुरक्षा उपकरणों का उपयोग करें।

आईओसी

संक्रमित और मूल LedgerLive ऐप का अंतर: GitHub सार

304145c8c242644a7aa866383bdac3c169f944ea8c6656b663c223da1359fbb9

एसएचए256

DMGCrackइंस्टाल

0822cf5c34341d124164b1c89889dedc405034e40fd0c8a219859a2561a289ee

एसएचए256

मच-ओ

5c9e197c4e7752e6a15fc9077fa41dc78ac5a737ae73a01ddb6b6fc6aadd1f1c

एसएचए256

दुर्भावनापूर्ण LedgerLive ऐप घटक App.tsx

8c23db010886261cb27a5fbaa45502586f4031cc60bda3a8df778d94a3335888

एसएचए256

दुर्भावनापूर्ण LedgerLive ऐप ComponentPairMyNano.tsx

9d5bcbdc139561951256a43cc05dda3e18da99ffd200975bbf0732e90a97c710

एसएचए256

दुर्भावनापूर्ण LedgerLive ऐप ComponentProtectDiscoverBody.tsx

1e86fd2688e7d0086e243194504318c125a5a7c8a1ef6f42bf39bd90deba793b

एसएचए256

दुर्भावनापूर्ण LedgerLive ऐप Componentapp.asar