Пользователи Mac нацелены на новую кампанию - вредоносную программу-троян Gmera - которая направлена на удаление шифрования из их кошельков.
Исследователи ESET недавно обнаружили исследователей ESET, которые подробно изложили свои выводы в четверг, о том, что троянское программное обеспечение и приложения для криптовалюты предназначены для операционной системы Apple.
Троянские приложения предлагаются онлайн как версии законного торгового программного обеспечения, например, разработанного Kattana, организацией, которая разработала терминальное приложение для настольные компьютеры для шифрования транзакций.
ESET не уверен в точном направлении атаки, но кажется, что социальная инженерия - это метод, используемый для пользователи, Фактически, в марте Каттана выпустила предупреждение о том, что к пользователям обращаются за загрузкой вредоносных программ. Также были найдены сайты подражателей, утверждающие, что они являются версиями Kattana.
«Операторы с большей вероятностью вступят в прямой контакт со своими целями, чтобы убедить их установить вредоносное приложение», - говорят исследователи.
Были идентифицированы четыре измененные версии легального приложения Kattana - Cointrazer, Cupatrade, Licatrade и Trezarus, которые упрощают операции, но также включает в себя установщик Gmera, встроенный в программное обеспечение.
Исследователи из Trend Micro опубликовали анализ Gmera в 2019 году. Ранее эта вредоносная программа была обнаружена в другом торговом приложении для Mac под названием Stockfolio.
Во время выполнения Gmera сначала подключается к центру командования и управления (C2) через HTTP, а затем подключает сеансы удаленного терминала к другому C2 через жестко заданный IP-адрес.
Используя образец Licatrade в качестве основы для анализа - хотя в каждом торговом наименовании есть небольшие вариации - ESET отметила, что скрипт разработан для установления соединения C2, а также для поддержания постоянства путем установки агента запуска.
Однако в Licatrade агент запуска запускается. Злоумышленники намеревались открыть сценарий оболочки с компьютера жертвы в один сервер что они будут контролировать себя, но в других версиях троянского приложения работает механизм персистентности.
Большая часть юридического терминала Каттаны осталась нетронутой, включая механизм соединение требуется приложением для привязки кошельков и транзакций - функция, которая читы может воспользоваться доступом к кошелькам жертв.
На этапе обнаружения вредоносная программа извлекает компьютерные данные и отображает доступные сети. Wi-Fi, так как приманок скорее всего отключит эту форму подключения. Gmera также просканирует виртуальные машины и сделает снимок экрана, чтобы увидеть, какая версия macOS используется.
Операторы намеревались пропустить эту проверку, если Catalina установлена, поскольку пользователи должны каждый раз утверждать снимки экрана или записи - и поэтому, если проверка будет выполнена, это вызовет подозрения. Однако ошибки в коде вредоносного ПО означают, что независимо от операционная системаСкриншот сделан.
Затем начинается кража данных. Сценарии оболочки используются для экспорта файлов cookie браузера, истории браузера и учетных данных кошелька.
Greek
Chinese (Simplified)
English
Greek
Russian