Фирма ESET, специализирующаяся на интернет-безопасности, обнаружила новую троянскую атаку, на приложения из macOS от Apple для криптовалют.
Согласно полученным данным, вредоносное ПО предназначено для крипто-кошельков и интегрировано с приложениями для торговли псевдо-цифровыми активами, которые можно легко спутать с легальными платформами.
«GMERA» – вредоносное ПО, используется не в первый раз. Исследователи из Trend Micro, еще одной компании, занимающейся кибер-секцией, столкнулись с ней еще в сентябре 2019 года, когда она представлялась как Stockfolio – приложение для инвестиций в акции, созданное для Mac.
Исследователи ESET обнаружили, что операторы GMERA интегрировали вредоносные программы с Kattana – крипто торговым приложением MacOS. Затем они создали копию сайта фирмы для продвижения четырех новых приложений, а именно; Trezarus, Licatrade, Cupatrade и Cointrazer. Примечательно, что эти вредоносные приложения направляют пользователей в ZIP-архив, содержащий версии троянских программ, которые, в свою очередь, предназначаются для криптографических кошельков.
Далее исследователи подчеркнули, что любой, кто не очень знаком с веб-сайтом Kattana, может быть легко скомпрометирован:
Для человека, который не знаком с Kattana, веб-сайты выглядят законно.
GMERA Malware
Чтобы полностью понять, как это работает, исследователи ESET проанализировали образцы из Licatrade, функциональность которых очень похожа на другие вредоносные программы. Согласно полученным данным, GMERA устанавливает скрипт оболочки на компьютер цели, предоставляя хакерам доступ к системе пользователя через приложение.
Затем они используют HTTP для создания серверов C&C или C2, чтобы провести связь между ними и скомпрометированной машиной. При этом они могут украсть такую информацию, как местоположение, криптографические кошельки и снимки экрана, хранящиеся в базе данных пользователя. После этих выводов ESET подняла проблему с Apple, что привело к отзыву сертификации Licatrade.
