Cercetătorii ESET au descoperit aplicaţii pentru criptomonede încărcate cu troieni

Cercetătorii ESET au descoperit recent site-uri web care distribuiau aplicaţii de tranzacţionare a criptomonedelor încărcate cu troieni, ce aveau drept ţintă utilizatori de sisteme Mac.

Acestea erau aplicaţii legitime care conţineau secvenţe malware GMERA, ai căror operatori le foloseau pentru a fura informaţii, cum ar fi cookie-urile browserului, portofelele de criptomonede şi capturi de ecran.

În această campanie, aplicaţia legitimă de tranzacţionare Kattana a fost rebranduită - fiind inclusiv configurate site-uri care dublau identitatea Kattana - iar secvenţa malware a fost încorporată în installer-ul său. Cercetătorii ESET au identificat patru nume folosite pentru aplicaţia cu troian în această campanie: Cointrazer, Cupatrade, Licatrade şi Trezarus.

„La fel ca în campaniile de atac anterioare, programele malware raportează la un server de comandă şi control prin HTTP şi conectează sesiunile de terminal la distanţă la un alt server C&C folosind o adresă IP cu cod hardcoded", declară cercetătorul ESET, Marc-Etienne M.Léveillé, care a condus ancheta în cazul GMERA.

Cercetătorii ESET nu au putut identifica încă cu exactitate locurile unde sunt promovate aceste aplicaţii încărcate cu troieni. Cu toate acestea, în martie 2020, site-ul legitim Kattana a postat un avertisment prin care sugera că victimele sunt abordate individual pentru a le ademeni să descarce o aplicaţie troianizată, ceea ce dă de înţeles că autorii recurg la campanii de inginerie socială. Site-urile copycat (care dublează identitatea vizuală a brandului legitim) sunt configurate pentru a face ca descărcarea aplicaţiei false să pară legitimă. Butonul de descărcare de pe site-urile false este o legătură către o arhivă ZIP care conţine pachetul de aplicaţii încărcate cu troianul informatic.

În plus faţă de analiza codului malware, cercetătorii ESET au pus la punct şi honeyspots (calculatoare dedicate investigaţiilor) şi au ademenit operatorii de malware GMERA pentru a controla de la distanţă aceste calculatoare. Scopul cercetătorilor a fost să dezvăluie motivaţiile din spatele acestui grup de infractori. „Pe baza activităţii la care am asistat, putem confirma că atacatorii colectează informaţii despre browser, cum ar fi cookie-urile şi istoricul de navigare, portofelele de criptovalută şi capturile de ecran", concluzionează M. Léveillé.

Pentru mai multe detalii tehnice despre campania GMERA, citiţi articolul complet de pe blogul WeLiveSecurity, „Mac cryptocurrency trading application rebranded, bundled with malware".