paint-brush
macOS'ta Atomic Stealer'ı Takip Etme: LedgerLive Uygulamasını Değiştiren Karmaşık Kötü Amaçlı Yazılımile@moonlock
2,855 okumalar
2,855 okumalar

macOS'ta Atomic Stealer'ı Takip Etme: LedgerLive Uygulamasını Değiştiren Karmaşık Kötü Amaçlı Yazılım

ile Moonlock (by MacPaw)4m2024/08/24
Read on Terminal Reader

Çok uzun; Okumak

Atomic Stealer'ın yeni taktikleri arasında meşru LedgerLive uygulamasını kullanıcı fark etmeden kötü amaçlı bir klonla değiştirmek yer alıyor. Kötü amaçlı yazılım, kullanıcıları hassas bilgileri vermeleri için kandırmak amacıyla bir kimlik avı aracı kullanıyor. Daha sonra verileri Komuta ve Kontrol sunucusuna iletiyor ve diğer sunuculara gönderiyor.
featured image - macOS'ta Atomic Stealer'ı Takip Etme: LedgerLive Uygulamasını Değiştiren Karmaşık Kötü Amaçlı Yazılım
Moonlock (by MacPaw) HackerNoon profile picture

Yazar: Artem Chumak, Moonlock by MacPaw'da Kötü Amaçlı Yazılım Araştırma Mühendisi

giriiş

Bizim Moonlock Laboratuvarı , Atomic Stealler'ın evrimini yakından izliyoruz. Bu kötü amaçlı yazılım, hızlı gelişimi ve kullandığı karmaşık özellikler nedeniyle dikkatimizi çekti. Daha önce vurguladığımız belirli bir özellik X (Twitter) gönderisi , meşru LedgerLive uygulamasını kötü amaçlı bir klonla değiştirme konusundaki gelişmiş yeteneğiyle öne çıkıyor. Bu makalede, bu özelliği ve etkilerini daha derinlemesine inceliyoruz.

İzleme ve Analiz

Ekibimiz tehdit aktörleri tarafından kullanılan Darknet forumlarını ve Telegram kanallarını sürekli olarak izler. Bu etkinlik, kullanıcılar arasında yayılmadan önce en son gelişmeler ve taktikler hakkında bilgi sahibi olmamızı sağlar. Bu kanallara sızarak, siber tehditlerdeki en son güncellemeler hakkında gerçek zamanlı içgörüler elde ederiz.


Bilginin en büyük kaynaklarından biri, AMOS hırsızının arkasındaki grup tarafından işletilen Telegram kanalıdır. Bu kanal yalnızca satışını kolaylaştırmakla kalmaz kötü amaçlı yazılım ancak aynı zamanda geliştirme ve dağıtımı hakkında güncellemeler de sağlar. Bu kanaldaki tartışmaları izleyerek, evrimini belgeleyebildik Atom hırsızı ve dinamiklerini anlamak.

Şekil 1. Operatör Telgrafı Nedeniyle AMOS Evriminin Zaman Çizelgesi

Aslında, operatörün düzenli gönderileri gelecekteki gelişmeler ve taktikler hakkında fikir vererek olası değişiklikleri öngörmemizi sağlıyor. Ayrıca, Atomic Stealer'ın belirli sürümünün maliyetini öğrendik.

Şekil 2. Hırsızın 3.000 dolara satıldığı AMOS Telegram kanalından ekran görüntüsü (Rusçadan çevrilmiştir)


Bir gün, AMOS operatörünün Telegram kanalını izlerken, yeni bir işlevi vurgulayan bir reklamla karşılaştık. Bu yeni özellik, LedgerLive uygulamasının kullanıcı fark etmeden kötü amaçlı bir klonla değiştirilmesini içeriyor. Ayrıca, uygulamayla ilgili tüm kullanıcı eylemleri - açma, kapatma, başlangıç cümlesini girme ve başlangıç cümlesini gönderme gibi - izleme amacıyla bot tarafından oluşturulan ayrı bir Telegram kanalına kaydedilir.


Bu işlevsellik, istikrarlı trafiğe sahip düzenli müşteriler için tasarlanmış benzersiz bir modül olarak sunulmaktadır. Modülün kendisi ücretsizdir, ancak operatörler toplanan her tohum ifadesinin bakiyesi için %30 ücret talep eder.

Şekil 3. Siber suçlunun Telegram kanalından reklam

LedgerLive Uygulamasının Enfeksiyon Zinciri

Özellikle ilgimizi çekti ve bu nedenle, öncelikle LedgerLive uygulamasını hedef alan Atomic Stealer'ın bu versiyonunu elde ettik ve analiz ettik. LedgerLive, kripto para cüzdanlarını yönetmek için yaygın olarak kullanılan bir uygulamadır ve kullanıcılara dijital varlıklarını yönetmek için güvenli ve rahat bir yol sağlar. Sonuç olarak, popülerliği ve yönettiği varlıkların yüksek değeri nedeniyle, siber suçlular için kazançlı bir hedef haline gelmiştir.

Şekil 4. Ledger Live Crypto Wallet Uygulamasının ana sayfası

Genellikle bir kullanıcının CrackInstall.dmg olarak gizlenmiş kötü amaçlı bir yükleyiciyi indirmesiyle başlayan enfeksiyon sürecini inceleyelim. Görünüşte zararsız olan bu dosyanın içinde, açıldığında sessizce çalışmak üzere tasarlanmış bir kötü amaçlı yazılım parçası olan Mach-O hırsızı bulunur.


Saldırganlar genellikle kurbanların Gatekeeper'ı atlatmalarına yardımcı olmak için görsel talimatlar sağlar. Talimatlar kullanıcıları CrackInstall dosyasına sağ tıklamaya ve güvenlik önlemini atlatmak için "Aç"ı seçmeye yönlendirir.

Şekil 5. CrackInstall.dmg'nin Aldatıcı Kurulum Penceresi

Hırsız, çalıştırıldıktan sonra hemen işe koyulur ve LedgerLive uygulamasındaki önemli bileşenleri değiştirir.

Şekil 6. Kötü amaçlı Mach-o dosyasından çıkarılan içerik.
Özellikle App.tsx, PairMyNano.tsx ve ProtectDiscoverBody.tsx gibi dosyaları hedef alır ve bunları kötü amaçlı sürümlerle değiştirir. Bu işlem etkili bir şekilde orijinal LedgerLive uygulamasının bir klonunu oluşturur. Kötü amaçlı klon, meşru uygulamanın görünümünü ve işlevselliğini taklit edecek şekilde tasarlanmıştır ve kullanıcıların ihlali tespit etmesini zorlaştırır.

Şekil 7. LedgerLive Uygulamasının Enfeksiyon Zinciri

Temel Özellikler

Tohum İfadeleri için Kimlik Avı

Enfekte olmuş LedgerLive uygulamasının kritik bir özelliği, bir kimlik avı penceresi görüntüleme yeteneğidir. Bu pencere, kullanıcıları kripto para cüzdanlarını kurtarmak için kullanılan bir dizi kelime olan tohum ifadelerini girmeye yönlendirir. Uygulama, kullanıcıları hassas bilgilerini ifşa etmeye teşvik ederek yanlış bir güvenlik duygusu yaratmak için yanıltıcı bir mesaj sağlar.

Kimlik Avı Mesajı:

"Gizli ifadeniz, cüzdanınızı ilk kurduğunuzda yedeklediğiniz gizli kelime listesidir. Ledger, kurtarma ifadenizin bir kopyasını saklamaz."

Şekil 8. Tohum İfadeleri için Kimlik Avı kesiti

Komuta ve Kontrol Sunucularına Veri İletimi

Tohum ifadelerini yakaladıktan sonra, kötü amaçlı yazılım Komuta ve Kontrol (C2) sunucusunu gizler ve verileri http://159[.]65[.]193[.]64:8080/statistics adresine iletir. Bu birincil sunucu, saldırganların daha sonra istismar edebileceği hassas bilgileri alır.

Şekil 9. Mağdurun Verilerinin C2 sunucusuna iletilmesine ilişkin bir kesit

Ek olarak, kötü amaçlı yazılım kullanıcı bilgilerini ve yürütme durumunu iki başka sunucuya gönderir: http://77[.]221[.]151[.]29:8080/statistics_v2 ve http://77[.]221[.]151[.]29:8080/statistics_v5. Veri sızdırmaya yönelik bu çok katmanlı yaklaşım, saldırganların enfekte sistemler hakkında kapsamlı bilgi almasını sağlar.

Şekil 10. Yürütme Durumunun C2 sunucusuna iletilmesinin bir kesiti.

Çözüm

Atomic Stealer'ın analizimiz, özellikle LedgerLive uygulamasını hedef alma ve değiştirme yeteneği, gelişmiş yeteneklerini ortaya çıkardı. LedgerLive klonu gerçek uygulamayı taklit ederek kullanıcıların ihlali tespit etmesini zorlaştırıyor. Saldırganlar, tüm kullanıcı etkileşimlerini kaydederek, kripto para cüzdanlarına erişim için kritik öneme sahip olan tohum ifadeleri gibi hassas bilgileri ele geçirebiliyor.


Kendinizi korumak için yazılımları her zaman resmi kaynaklardan indirin, şüpheli bağlantılara tıklamaktan kaçının ve bu tür tehditleri tespit edip engellemek için CleanMyMac X with Moonlock Engine gibi güçlü güvenlik araçlarını kullanın.

IoC'ler

Enfekte olmuş ve orijinal LedgerLive uygulamasının farkı: GitHub Özeti

304145c8c242644a7aa866383bdac3c169f944ea8c6656b663c223da1359fbb9

SHA256

DMGCrackKurulumu

0822cf5c34341d124164b1c89889dedc405034e40fd0c8a219859a2561a289ee

SHA256

Maç-O

5c9e197c4e7752e6a15fc9077fa41dc78ac5a737ae73a01ddb6b6fc6aadd1f1c

SHA256

Kötü Amaçlı LedgerLive Uygulama Bileşeni App.tsx

8c23db010886261cb27a5fbaa45502586f4031cc60bda3a8df778d94a3335888

SHA256

Kötü Amaçlı LedgerLive Uygulama BileşeniPairMyNano.tsx

9d5bcbdc139561951256a43cc05dda3e18da99ffd200975bbf0732e90a97c710

SHA256

Kötü Amaçlı LedgerLive Uygulama BileşeniProtectDiscoverBody.tsx

1e86fd2688e7d0086e243194504318c125a5a7c8a1ef6f42bf39bd90deba793b

SHA256

Kötü Amaçlı LedgerLive Uygulama Bileşeniapp.asar