Компания ESET — лидер в области информационной безопасности — сообщает об обнаружении сайтов, которые распространяют троянские приложения для торговли криптовалютой и направлены на компьютеры Mac. Это были легитимные программы с вредоносным программным обеспечением GMERA, которое использовалось для похищения такой информации, как файлы cookie браузера, кошельки криптовалют и снимки экрана.
Во время этой кампании злоумышленники создали несколько версий легитимной программы Kattana с разными названиями и настроили сайты-двойники, добавляя вредоносное ПО в их инсталлятор. Исследователи ESET зафиксировали 4 названия троянского приложения, которые использовались в этой кампании: Cointrazer, Cupatrade, Licatrade и Trezarus.
«Как и в предыдущих кампаниях, вредоносная программа связывается с командным сервером (C&C) по протоколу HTTP и открывает терминальные сессии с другим командным сервером, используя жестко закодированный IP-адрес», — комментирует Марк-Этьен М. Левейле, исследователь компании ESET.
Как злоумышленники продвигали троянские приложения пока неизвестно. Хотя в марте 2020 года легитимный сайт Kattana опубликовал предупреждение о киберпреступниках, которые заманивают пользователей загрузить троянское приложение с помощью индивидуальных обращений, что указывает на использование социальной инженерии. Также киберпреступники создают сайты-двойники, чтобы загрузка поддельной программы выглядела легитимно. Как правило, злоумышленники размещают на сайте кнопку с ссылкой для загрузки ZIP-архива, который содержит набор троянских приложений.
Кроме этого, чтобы раскрыть мотивы группы киберпреступников GMERA, специалисты ESET создали приманку на компьютерах, которые использовались для исследования. «На основе выявленной вредоносной активности мы можем подтвердить, что злоумышленники собирали информацию о браузере, например, файлы cookie и историю посещений, а также кошельки криптовалют и снимки экрана», — делает вывод Марк-Этьен М. Левейле.
Киберпреступники приложили большие усилия, чтобы скомпрометировать пользователей Mac, которые занимаются онлайн-торговлей. Хотя как именно пользователи становятся жертвами, загружая одно из троянских приложений так и не стало известно. Наиболее вероятным вариантом остается применение методов социальной инженерии для установки вредоносной программы.
Стоит отметить, что в последней версии macOS действия злоумышленников были ограниченными. Исследователи не заметили попытки киберпреступников обойти ограничения новой версии ОС, связанные с созданием снимков экрана. Поэтому чтобы увидеть экран компьютера жертвы, который работает под управлением Catalina, злоумышленники должны анализировать уже существующие скриншоты пользователя. Это хороший пример, который свидетельствует об эффективности обновления операционной системы для противодействия злоумышленникам.
Чтобы получить дополнительную информацию о троянском приложении и идентификаторы компрометации перейдите по ссылке.