Новая троянская атака нацелена на пользователей Mac для кражи криптовалюты

Новая троянская атака с использованием вредоносного ПО GMERA предназначена для трейдеров криптовалют, которые используют торговые приложения на MacOS от Apple.

Компания ESET, специализирующаяся на интернет-безопасности, обнаружила, что вредоносное ПО интегрируется в законно выглядящие приложения для торговли криптовалютами, и пытается украсть средства криптовалюты пользователей из их кошельков.

Исследователи другой фирмы по кибербезопасности Trend Micro впервые обнаружили вредоносное ПО GMERA в сентябре 2019 года, когда оно представляло собой приложение для инвестиций в акции для Mac — Stockfolio.

Копирование реальных приложений

ESET обнаружил, что операторы вредоносного ПО интегрировали GMERA в оригинальное приложение для торговли криптовалютой macOS Kattana.Они также скопировали веб-сайт компании и продвигают четыре новых приложения подражателя — Cointrazer, Cupatrade, Licatrade и Trezarus — которые поставляются с вредоносным ПО.

На поддельных сайтах есть кнопка загрузки, которая связана с ZIP-архивом, содержащим троянскую версию приложения.Согласно ESET, эти приложения имеют полную поддержку торговых функций.

«Для человека, который не знает Kattana, веб-сайты выглядят законно», — пишут исследователи.

Исследователи также заявили, что злоумышленники напрямую связывались со своими объектами и «социальным путем», чтобы загрузить зараженное приложение.

Вредонос в двух словах

Чтобы проанализировать вредоносное ПО, исследователи ESET протестировали образцы из Licatrade, которые, по их словам, имеют незначительные отличия по сравнению с вредоносным ПО в других приложениях, но при этом функционируют так же.

Троянец устанавливает на компьютер жертвы скрипт оболочки, который предоставляет операторам доступ к системе пользователей через приложение.Затем сценарий оболочки позволяет злоумышленникам создавать серверы командования и управления, также называемые C & C или C2, по протоколу HTTP между своими системами и системой жертвы.Эти серверы C2 помогают им постоянно обмениваться данными с зараженной машиной.

Согласно полученным данным, вредоносная программа GMERA крадет такую ​​информацию, как имена пользователей, кошельки криптовалют, местоположения и снимки экрана из системы пользователей.

ESET, однако, заявила, что сообщила об этой проблеме Apple, и сертификат, выданный компанией Licatrade, был отозван в тот же день.Они также добавили, что два других сертификата, использованных для различных приложений, были уже отозваны к тому времени, когда они начали свой анализ.

Spread the love
12345 (Пока оценок нет)
Загрузка...

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *