Компания ESET, специализирующаяся на интернет-безопасности, обнаружила новую троянскую программу, направленную на криптотрейдеров, использующих приложения на macOS от Apple.
Согласно полученным данным, вредоносная программа нацелена на криптокошельки и интегрирована с поддельными приложениями для торговли цифровыми активами, которые можно спутать с официальными продуктами криптобирж.
Впервые вирус, получивший название «GMERA», обнаружили исследователи из компании по кибербезопасности Trend Micro в сентябре 2019 года. Тогда созданное на Mac псевдо-приложение называлось как Stockfolio, оно позволяло инвестировать в акции.
Исследователи ESET выявили, что операторы GMERA интегрировали вредоносное ПО в криптовалютное приложение MacOS Kattana. Затем они создали копию сайта компании, на котором продвигали четыре новых приложения Trezarus, Licatrade, Cupatrade и Cointrazer. Примечательно, что вредоносные приложения переправляют пользователей к ZIP-архиву, содержащему троян, активирующийся при загрузке.
Чтобы разобраться, как это работает, исследователи ESET проанализировали приложение Licatrade, функциональность которого очень похожа на другие вредоносные программы. В итоге выяснилось, что GMERA устанавливает скрипт оболочки на компьютер цели, предоставляя хакерам доступ к системе пользователя через приложение.
Затем они используют HTTP для создания серверов C&C или C2, чтобы инициировать связь между ними и взломанной машиной. При этом они могут получать такую информацию, как местоположение, похищать криптовалюты и снимки экрана, хранящиеся в базе данных пользователя.
Редактор. Переводчик. Криптоинвестор.