App de criptomoeda “trojanizada” para Mac coleciona carteiras e imagens de ecrã

A ESET descobriu websites que distribuem apps de criptomoeda “trojanizadas” para computadores Mac. Estas são apps legítimas revestidas com o malware GMERA, cujos operadores usam para roubar informação como cookies de browser, carteiras de criptomoeda e imagens de ecrã. Nesta campanha, a aplicação legítima Kattana foi renomeada – sendo ainda configurados websites falsificados – e o malware foi incluindo no processo de instalação. Os investigadores da ESET detetaram quatro nomes usados na app “trojanizada” nesta campanha: Cointrazer, Cupatrade, Licatrade e Trezarus.

“Como aconteceu em campanhas anteriores, o malware reporta a um servidor Command & Control por HTTP e conecta sessões de terminal remoto a outro servidor C&C usando um endereço IP codificado,” comentou o investigador da ESET Marc-Etienne M.Léveillé, que dirigiu a investigação.

Os investigadores da ESET ainda não conseguiram precisar o local onde estas apps “trojanizadas” são promovidas. No entanto, em março de 2020, o site legítimo da Kattana publicou um aviso sugerindo que as vítimas são contactadas individualmente para as convencer a descarregar uma app “trojanizada”, o que sugere uma estratégia de engenharia social. Os websites falsificados são configurados para dar legitimidade à aplicação. O botão de download nestes websites é um link para um arquivo ZIP que contém a app “trojanizada”.

Além da análise do código de malware, os investigadores da ESET estabeleceram honeypots (computadores de investigação) e atraíram os operadores do malware GMERA a controlar esses sistemas remotamente. O objetivo foi revelar as motivações por trás deste grupo de cibercriminosos. “Com base na atividade que testemunhámos, podemos confirmar que os atacantes têm colecionado informação de browser, como cookies e históricos, carteiras de criptomoeda e imagens de ecrã,” concluiu M.Léveillé.

Para mais detalhes técnicos sobre a campanha, por favor visite o post completo do blog, “Mac cryptocurrency trading application rebranded, bundled with malware”, no WeLiveSecurity. Siga também ESET Research no Twitter para as mais recentes notícias.
​
Mais informação: https://www.eset.com/pt