I ricercatori Eset hanno recentemente scoperto dei siti internet copia contenenti app per il trading di criptovalute per MAC OS affette da virus trojan.
Le applicazioni autorizzate venivano copiate e collegate a malware GMERA, software malevoli usati dagli hacker per rubare cookies di navigazione, dati dei portafogli di criptovalute e screeshot. Tra i software usati per attrarre gli utenti c’era l’app autorizzata Kattana. I cybercriminali avevano creato una copia fasulla dell’applicazione – oltre a un sito copia identico a quello ufficiale – e inserito il malware nell’eseguibile. I ricercatori hanno individuato altre 4 app verificate usate dagli hacker come esca per distribuire il trojan: Cointrazer, Cupatrade, Licatrade e Trezarus.
“Come nei precedenti casi, il malware riconduceva a un server di comando & controllo su HTTP connesso da remoto a un terminale, collegato a un altro server C&C che usava un indirizzo IP codificato” ha commentato Marc-Etienne M.Léveillé, ricercatore Eset a capo dell’operazione.
I ricercatori stanno ancora cercando di individuare dove le applicazioni infette venivano pubblicizzate. Tuttavia, a marzo 2020 il sito ufficiale di Kattana aveva postato un messaggio in cui gli utenti venivano messi in guardia, evidenziando come le vittime erano approcciate direttamente per essere attratte a scaricare l’applicazione infetta.
I siti fasulli sono progettati per far sembrare la fonte del download attendibile. Sul sito copia di Kattana il bottone per il download era linkato a un archivio ZIP, contenente l’eseguibile infetto da trojan.
Oltre all’analisi del codice malware, i ricercatori Eset hanno creato un sistema di monitoraggio (detto Honeypot) per attirare e individuare gli hacker che controllavano il malware GMERA; l’obiettivo dei ricercatori era quello di rivelare gli scopi del gruppo di cybercriminali. “Considerando le attività che abbiamo monitorato, possiamo confermare che gli hacker hanno raccolto informazioni come cookies, cronologie di navigazione, dati dei portafogli di criptovalute e screenshot” ha concluso M.Léveillé.
Per maggiori informazioni scarica la ricerca completa e segui l’account Twitter di Eset Italia.