Суббота, 27 февраля, 05:47
дома безопасность Вредоносное ПО Gmera предназначено для пользователей Mac

Вредоносное ПО Gmera предназначено для пользователей Mac

Пользователи Mac нацелены на новую кампанию - вредоносную программу-троян Gmera - которая направлена ​​на удаление шифрования из их кошельков.

Исследователи ESET недавно обнаружили исследователей ESET, которые подробно изложили свои выводы в четверг, о том, что троянское программное обеспечение и приложения для криптовалюты предназначены для операционной системы Apple.

Троянские приложения предлагаются онлайн как версии законного торгового программного обеспечения, например, разработанного Kattana, организацией, которая разработала терминальное приложение для настольные компьютеры для шифрования транзакций.

вредоносная программа Gmera Trojan

ESET не уверен в точном направлении атаки, но кажется, что социальная инженерия - это метод, используемый для пользователи, Фактически, в марте Каттана выпустила предупреждение о том, что к пользователям обращаются за загрузкой вредоносных программ. Также были найдены сайты подражателей, утверждающие, что они являются версиями Kattana.

«Операторы с большей вероятностью вступят в прямой контакт со своими целями, чтобы убедить их установить вредоносное приложение», - говорят исследователи.

Были идентифицированы четыре измененные версии легального приложения Kattana - Cointrazer, Cupatrade, Licatrade и Trezarus, которые упрощают операции, но также включает в себя установщик Gmera, встроенный в программное обеспечение.

Исследователи из Trend Micro опубликовали анализ Gmera в 2019 году. Ранее эта вредоносная программа была обнаружена в другом торговом приложении для Mac под названием Stockfolio.

Во время выполнения Gmera сначала подключается к центру командования и управления (C2) через HTTP, а затем подключает сеансы удаленного терминала к другому C2 через жестко заданный IP-адрес.

Используя образец Licatrade в качестве основы для анализа - хотя в каждом торговом наименовании есть небольшие вариации - ESET отметила, что скрипт разработан для установления соединения C2, а также для поддержания постоянства путем установки агента запуска.

Однако в Licatrade агент запуска запускается. Злоумышленники намеревались открыть сценарий оболочки с компьютера жертвы в один сервер что они будут контролировать себя, но в других версиях троянского приложения работает механизм персистентности.

Большая часть юридического терминала Каттаны осталась нетронутой, включая механизм соединение требуется приложением для привязки кошельков и транзакций - функция, которая читы может воспользоваться доступом к кошелькам жертв.

На этапе обнаружения вредоносная программа извлекает компьютерные данные и отображает доступные сети. Wi-Fi, так как приманок скорее всего отключит эту форму подключения. Gmera также просканирует виртуальные машины и сделает снимок экрана, чтобы увидеть, какая версия macOS используется.

Операторы намеревались пропустить эту проверку, если Catalina установлена, поскольку пользователи должны каждый раз утверждать снимки экрана или записи - и поэтому, если проверка будет выполнена, это вызовет подозрения. Однако ошибки в коде вредоносного ПО означают, что независимо от операционная системаСкриншот сделан.

Затем начинается кража данных. Сценарии оболочки используются для экспорта файлов cookie браузера, истории браузера и учетных данных кошелька.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

ЖИВЫЕ НОВОСТИ

Лос-Анджелес: летающие машины в городском небе к 2024 году

Летающие машины теперь на шаг ближе к тому, чтобы стать реальностью, поскольку один из крупнейших игроков в этой области заявил о себе ...

Как скрыть панель вкладок в Safari для iPad (или сбросить ее)

По умолчанию Safari для iPad отображает панель инструментов, полную вкладок браузера, если у вас открыто несколько вкладок. Если вы предпочитаете ...

Билл Гейтс говорит, что предпочитает смартфоны Android айфонам

Соучредитель Microsoft Билл Гейтс на этой неделе принял участие в своей первой встрече с компанией Clubhouse, которая ...

Киберпреступники предлагают правительствам услуги взлома

Хакерские группы, участвующие в различных киберпреступлениях, теперь настолько специализированы, что правительства штатов используют их в своих целях ...

Intel исправляет ошибки в драйверах Wi-Fi и Wireless Bluetooth

Intel столкнулась с проблемами с драйверами Wi-Fi и Wireless Bluetooth, вызывающими ошибки BSOD в устройствах Windows 10 и Bluetooth ...
00: 03: 10

Hyundai: отзыв 82.000 электромобилей станет одним из самых дорогих в истории

https://www.youtube.com/watch?v=TJxiFe0HESw Η Hyundai θα ανακαλέσει 82.000 ηλεκτρικά αυτοκίνητα για να αντικαταστήσει τις μπαταρίες τους, καθώς έγιναν 15...
00: 02: 35

Star Wars: Republic Commando выйдет на PS4 и Nintendo Switch

https://www.youtube.com/watch?v=b1whMXAa8p8 Ήταν το 1977 όταν ο George Lucas μας έβαλε στον φανταστικό κόσμο του Star Wars, μέσω...

Npower: отключает мобильное приложение после атак с заполнением учетных данных

Одна из крупнейших энергетических компаний Соединенного Королевства, Npower, была вынуждена деактивировать свое мобильное приложение, когда узнала о ...
00: 10: 11

Виртуальная реальность (VR): что это такое и как она меняет нашу жизнь?

Мы часто слышим термин «виртуальная реальность» (VR) в игровых инновациях. Однако эта технология не ограничивается ...

Гигантская компания Sequoia Capital обнаружила утечку данных

Американская компания VC Sequoia Capital сообщила, что подверглась атаке хакера. С момента своего основания в 1972 году компания венчурного капитала ...