Cercetătorii ESET au descoperit aplicații troianizate pentru Mac, ce colectează date ale portofelelor digitale de criptomonede și capturi de ecran


2020-07-17

Cercetătorii ESET au descoperit recent site-uri web care distribuiau aplicații de tranzacționare a criptomonedelor încărcate cu troieni, ce aveau drept țintă utilizatori de sisteme Mac. Acestea erau aplicații legitime care conțineau secvențe malware GMERA, ai căror operatori le foloseau pentru a fura informații, cum ar fi cookie-urile browserului, portofelele de criptomonede și capturi de ecran. În această campanie, aplicația legitimă de tranzacționare Kattana a fost rebranduită – fiind inclusiv configurate site-uri care dublau identitatea Kattana – iar secvența malware a fost încorporată în installer-ul său. Cercetătorii ESET au identificat patru nume folosite pentru aplicația cu troian în această campanie: Cointrazer, Cupatrade, Licatrade și Trezarus.

 

„La fel ca în campaniile de atac anterioare, programele malware raportează la un server de comandă și control prin HTTP și conectează sesiunile de terminal la distanță la un alt server C&C folosind o adresă IP cu cod hardcoded”, declară cercetătorul ESET, Marc-Etienne M.Léveillé, care a condus ancheta în cazul GMERA.

 

Cercetătorii ESET nu au putut identifica încă cu exactitate locurile unde sunt promovate aceste aplicații încărcate cu troieni. Cu toate acestea, în martie 2020, site-ul legitim Kattana a postat un avertisment prin care sugera că victimele sunt abordate individual pentru a le ademeni să descarce o aplicație troianizată, ceea ce dă de înțeles că autorii recurg la campanii de inginerie socială. Site-urile copycat (care dublează identitatea vizuală a brandului legitim) sunt configurate pentru a face ca descărcarea aplicației false să pară legitimă. Butonul de descărcare de pe site-urile false este o legătură către o arhivă ZIP care conține pachetul de aplicații încărcate cu troianul informatic.

 

În plus față de analiza codului malware, cercetătorii ESET au pus la punct și honeyspots (calculatoare dedicate investigațiilor) și au ademenit operatorii de malware GMERA pentru a controla de la distanță aceste calculatoare. Scopul cercetătorilor a fost să dezvăluie motivațiile din spatele acestui grup de infractori. „Pe baza activității la care am asistat, putem confirma că atacatorii colectează informații despre browser, cum ar fi cookie-urile și istoricul de navigare, portofelele de criptovalută și capturile de ecran”, concluzionează M.Léveillé.

Pentru mai multe detalii tehnice despre cea mai recentă campanie rău intenționată GMERA, citiți articolul complet de pe blogul WeLiveSecurity, „Mac cryptocurrency trading application rebranded, bundled with malware”.