ESET ha scoperto alcuni siti internet, che distribuiscono applicazioni per il trading di criptovalute per MAC OS, affette da virus trojan. Analizzando i campioni di malware, ESET ha, infatti, scoperto che si trattava di una nuova campagna come quella chiamata GMERA, analizzata dai ricercatori di Trend Micro nel settembre 2019. Come nei precedenti casi, questo malware riconduceva ad un server cifrato di C&C (Command & Control) su http, connesso da remoto e collegato ad un altro server che utilizzava un indirizzo IP codificato. Questa volta, tuttavia, non solo i cybercriminali hanno creato una copia fasulla dell’applicazione e l’hanno inserita nell’eseguibile, ma i ricercatori hanno individuato altre 4 App per distribuire il trojan quali: Cointrazer, Cupatrade, Licatrade e Trezarus.
Le applicazioni autorizzate venivano copiate e collegate a GMERA per rubare cookies di navigazione, dati dei portfolio di criptovalute e screenshot. Tra i software usati c’era anche l’App autorizzata Kattana.
I ricercatori stanno ancora cercando di individuare dove le applicazioni infette venivano pubblicizzate. Tuttavia, a marzo 2020, il sito ufficiale di Kattana aveva postato un messaggio in cui gli utenti venivano messi in guardia.
I siti fasulli sono progettati per far sembrare la fonte del download attendibile. Sul sito copia di Kattana, infatti, il bottone per “scaricare” era linkato ad un archivio ZIP, contenente l’eseguibile, infetto da trojan.
Oltre all’analisi del codice, ESET ha creato un sistema di monitoraggio (detto Honeypot) per attirare e individuare gli hacker, che controllavano GMERA. Il suo obiettivo era quello di rivelare gli scopi del gruppo di cybercriminali.
Sulla base delle attività monitorate, ESET conferma che gli hacker hanno raccolto informazioni come cookies, cronologie di navigazione, dati dei portafogli di criptovalute e screenshot.
