Header Ads

Aplicativo de negociação de criptomoedas para Mac é usado para distribuir malware

ESET analisa o malware GMERA e como, através de aplicativos para comprar e vender criptomoedas voltadas para usuários de Mac, ele tenta roubar informações


AMANHECER DA NOTICIAS

ESET, empresa líder em detecção proativa de ameaças, identificou sites que distribuem aplicativos mal-intencionados para comprar e vender moedas criptografadas destinadas a usuários de  Mac. O malware usado destina-se a roubar informações, como cookies do navegador, carteiras de criptomoedas e capturas de tela.

Ao analisar as amostras do malware, a ESET descobriu que se tratava de uma nova campanha GMERA, vista pela primeira vez em setembro de 2019. Desta vez, os autores do malware não apenas envolveram a ameaça em um aplicativo original e legítimo, mas também modificaram o nome do aplicativo comercial Kattana e fizeram cópias de seu site original. Nesse sentido, foram identificadas as seguintes marcas fictícias, sendo utilizadas em diferentes campanhas: Cointrazer, Cupatrade, Licatrade e Trezarus. Além de analisar o código do malware, os pesquisadores da ESET também criaram honeypots para tentar revelar as motivações do grupo de cibercriminosos por trás desse código malicioso.

Na época, não foi identificado onde esses aplicativos são promovidos. No entanto, em março de 2020,  a Kattana  emitiu um aviso  sugerindo que as vítimas foram abordadas individualmente com a intenção de induzi-las a baixar um aplicativo malicioso. Embora não tenha sido confirmado que esteja vinculado a essa campanha específica, pode ser o caso.

Os sites copiados são configurados para fazer com que o download do aplicativo falso pareça legítimo. Nesse caso, para um usuário que não conhece a Kattana, os sites têm uma aparência legítima.




Site original (legítimo) da Kattana


Site malicioso sob o nome de Licatrade contendo um link para baixar o malware

O botão de download em sites falsos é um link para um arquivo ZIP que contém o pacote de aplicativos Trojanized. Quando o arquivo é baixado, as modificações nos registros de data e hora dos arquivos contidos no ZIP, bem como a data em que o aplicativo foi assinado e a última modificação (Last-Modified) do cabeçalho HTTP, indicam a data do 15 de abril de 2020. Ao que tudo indica, esta campanha começou nesta data.

Para cada uma das outras campanhas analisadas, foi utilizado um certificado diferente. Ambos já foram revogados pela Apple no momento em que a análise começou. No caso da Cointrazer, houve apenas uma diferença de 15 minutos entre o momento em que a Apple emitiu o certificado e os criminosos o usaram para assinar seu aplicativo Trojanized. Isso e o fato de que nada mais foi encontrado assinado com a mesma chave sugerem que eles obtiveram o certificado explicitamente para esse fim.

Para saber mais sobre as intenções desse grupo, todas as interações entre o shell reverso dos backdoors do GMERA e os operadores desse malware foram monitoradas. Quando conectado pela primeira vez, o servidor C&C enviou um script curto para coletar o nome de usuário, a versão do macOS e o local (com base no endereço IP externo) do dispositivo comprometido.

De acordo com a atividade testemunhada, a ESET conclui que alguns dos interesses dos operadores desse malware são:

• Informações do navegador (cookies, histórico)

• Carteiras de criptomoeda

• Capturas de tela

"As numerosas campanhas realizadas por esse grupo mostram quanto esforço foi feito no ano passado para envolver os usuários de Mac através do comércio online. Ainda não temos certeza de como alguém se torna uma vítima e consegue baixar um dos aplicativos Trojanized, mas a hipótese de que os operadores entram em contato diretamente com seus alvos e os persuadem através da engenharia social para finalmente instalar o aplicativo mal-intencionado parece ser o problema mais provável", disse Camilo Gutierrez, chefe do Laboratório de Pesquisa da ESET na América Latina.

Para te ajudar a ficar em casa

A ESET aderiu à campanha #FiqueEmCasa, oferecendo proteção para dispositivos e conteúdos que ajudam os usuários a aproveitar os dias em casa e garantir a segurança dos pequenos enquanto se divertem online em meio à pandemia.

No site, os usuários podem ter acesso a: ESET INTERNET SECURITY grátis por 3 meses para proteger todos os dispositivos domésticos, Guia de Teletrabalho, com práticas para trabalhar em casa sem riscos, Academia ESET, para acessar cursos online que auxiliam a tirar mais proveito da tecnologia e o DigiPais, para ler conselhos sobre como acompanhar e proteger crianças na web.

Para saber mais sobre segurança da informação, entre no portal de notícias da ESET: http://www.welivesecurity.com/br/

Sobre a ESET

Desde 1987, a ESET® desenvolve soluções de segurança que ajudam mais de 100 milhões de usuários a aproveitar a tecnologia com segurança. Seu portfólio de soluções oferece às empresas e consumidores de todo o mundo um equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas que abrange 180 países e possui escritórios em Bratislava, San Diego, Cingapura, Buenos Aires, Cidade do México e São Paulo. Para mais informações, visite http://www.eset.com/br ou siga-nos no LinkedIn,Facebook e Twitter .

Nenhum comentário

Tecnologia do Blogger.