AhnLab SEcurity intelligence Center(ASEC)は、Evernote Crack プログラムに偽装して配布される Atomic Stealer マルウェアを発見した。Atomic Stealer マルウェアは、macOS ベースの情報窃取型マルウェアであり、ブラウザ、システムキーチェーン、ウォレット、システム情報を窃取し、主に pkg、dmg のようなインストーラーを通じて配布される。
マルウェアを配布するサイトに接続すると、クラックインストーラーのダウンロードを誘導する画面を確認することができる。このサイトは、被害者のシステム接続環境に対するブラウザの UserAgent を確認し、macOS の UserAgent の場合は Atomic Stealer のインストールページにリダイレクトし、Windows OS の UserAgent の場合は LummaC2 マルウェアのインストールページにリダイレクトする。
[図1] マルウェアの配布サイト
macOS 環境の場合、攻撃者はインストーラーを通じてマルウェアを配布する前に、ページに表示されているコマンドをコピーして利用者にターミナルで直接実行させるように誘導する。実行されるシェルスクリプトは、Atomic Stealer をダウンロードおよび実行する。このような方式でマルウェアを配布する理由は、外部からダウンロードしたファイルが実行される際に発生する GateKeeper のポップアップを回避するためと推定される。
[図2] マルウェアをインストールする install.sh
この他にも dmg 形式でパッケージングされて配布されるファイルは、実行時に Installer ファイルを右クリック後、開くボタンのクリックを案内し、マルウェアの実行を誘導する。
[図3] dmg ファイル実行画面
Atomic Stealer는 “system_profiler” 와 “SPMemoryDataType” 명령어를 통해 시스템 정보를 수집한 뒤, 메타 데이터에 “QEMU” 혹은 “VMware” 문자열을 확인하여 가상 환경에서 파일 실행을 방지한다.
Atomic Stealer は、「system_profiler」と「SPMemoryDataType」コマンドを通じてシステム情報を収集した後、メタデータに「QEMU」もしくは「VMware」の文字列を確認して、仮想環境でのファイル実行を防止する。
[図4] 仮想環境確認ロジック
Atomic Stealer は正常なプログラムに偽装した警告ウィンドウを表示してシステムパスワードを要求する。ユーザーがパスワードを入力すると、「dscl . authonly」コマンドを使用して入力されたパスワードの有効性を確認し、保存する。
[図5] パスワードの収集
[図6] システムパスワードを要求する警告ウィンドウ
Atomic Stealer は[図5]のように OSA Script を通じて AppleScript を実行し、情報流出の対象となるファイルを探索して収集する。最終的に「/tmp パス」にサブディレクトリを作成し、収集したブラウザ、システム、Note、キーチェーン、Telegram、仮想通貨ウォレット情報などを収集して「ditto」コマンドを通じて「out.zip」ファイルに圧縮する。圧縮されたユーザー情報は「curl」コマンドを通じた POST リクエストで攻撃者のサーバーに送信され、自動削除される。
[図7] C2 サーバーに情報流出
Atomic Stealer는 위에 언급한 것 처럼 크랙을 위장한 프로그램으로 유포되거나, Google 광고 플랫폼을 통해 악성코드를 호스팅하는 웹사이트로 리다이렉션하여 유포되기도 한다. 따라서, 사용자는 출처가 불분명한 사이트에서 다운로드되는 프로그램 사용을 주의하고, 공식 소프트웨어 배포 사이트를 사용해야한다.
Atomic Stealer は上記のようにクラックに偽装したプログラムで配布されるか、Google 広告プラットフォームを通じてマルウェアをホスティングする Web サイトにリダイレクトして配布されることもある。したがって、ユーザーは出所が不明な Web サイトからダウンロードされるプログラムの使用に注意し、公式のソフトウェア配布サイトを使用する必要がある。