App de criptomoeda “trojanizada” para Mac coleciona carteiras e imagens de ecrã

A ESET descobriu websites que distribuem apps de criptomoeda “trojanizadas” para computadores Mac. Estas são apps legítimas revestidas com o malware GMERA, cujos operadores usam para roubar informação como cookies de browser, carteiras de criptomoeda e imagens de ecrã. Nesta campanha, a aplicação legítima Kattana foi renomeada – sendo ainda configurados websites falsificados – e o malware foi incluindo no processo de instalação. Os investigadores da ESET detetaram quatro nomes usados na app “trojanizada” nesta campanha: Cointrazer, Cupatrade, Licatrade e Trezarus.

“Como aconteceu em campanhas anteriores, o malware reporta a um servidor Command & Control por HTTP e conecta sessões de terminal remoto a outro servidor C&C usando um endereço IP codificado,” comentou o investigador da ESET Marc-Etienne M.Léveillé, que dirigiu a investigação.

Os investigadores da ESET ainda não conseguiram precisar o local onde estas apps “trojanizadas” são promovidas. No entanto, em março de 2020, o site legítimo da Kattana publicou um aviso sugerindo que as vítimas são contactadas individualmente para as convencer a descarregar uma app “trojanizada”, o que sugere uma estratégia de engenharia social. Os websites falsificados são configurados para dar legitimidade à aplicação. O botão de download nestes websites é um link para um arquivo ZIP que contém a app “trojanizada”.

Além da análise do código de malware, os investigadores da ESET estabeleceram honeypots (computadores de investigação) e atraíram os operadores do malware GMERA a controlar esses sistemas remotamente. O objetivo foi revelar as motivações por trás deste grupo de cibercriminosos. “Com base na atividade que testemunhámos, podemos confirmar que os atacantes têm colecionado informação de browser, como cookies e históricos, carteiras de criptomoeda e imagens de ecrã,” concluiu M.Léveillé.

Para mais detalhes técnicos sobre a campanha, por favor visite o post completo do blog, “Mac cryptocurrency trading application rebranded, bundled with malware”, no WeLiveSecurity. Siga também ESET Research no Twitter para as mais recentes notícias.

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

*