Novo vírus ataca usuários da Apple e rouba criptomoedas

0
54
Novo vírus ataca usuários da Apple e rouba criptomoedas
Novo vírus ataca usuários da Apple e rouba criptomoedas

Um novo ataque de trojan usando um malware chamado GMERA está direcionado aos traders de criptomoedas que usam aplicativos de negociação no macOS da Apple.

A empresa de segurança na Internet ESET descobriu que o malware é integrado a aplicativos de comércio de criptomoedas de aparência legítima e tenta roubar os fundos dos usuários de suas carteiras.

Pesquisadores de outra empresa de cibersegurança, Trend Micro, descobriram o malware GMERA pela primeira vez em setembro de 2019, quando se apresentava como o aplicativo de investimento em ações específico para Mac, chamado Stockfolio. 

Copiando aplicativos reais

A ESET descobriu que os operadores de malware integraram o GMERA ao Kattana, aplicativo de comércio de criptomoedas para o macOS. Eles também copiaram o site da empresa e estão promovendo quatro novos aplicativos copiados – Cointrazer, Cupatrade, Licatrade e Trezarus – que vêm com o malware.

Os sites falsos têm um botão de download, que está vinculado a um arquivo ZIP que contém a versão trojanizada do aplicativo. De acordo com a ESET, esses aplicativos têm suporte total às funcionalidades de negociação.

“Para uma pessoa que não conhece o Kattana, os sites parecem legítimos”, escreveram os pesquisadores.

Os pesquisadores também disseram que os autores entraram em contato diretamente com seus alvos e os “projetaram socialmente” para baixar o aplicativo infectado.

O malware em poucas palavras

Para analisar o malware, os pesquisadores da ESET testaram amostras do Licatrade, que eles disseram ter pequenas diferenças em comparação com o malware em outros aplicativos, mas ainda funcionam da mesma maneira.

O cavalo de Troia instala um script shell no computador da vítima que dá aos operadores acesso ao sistema dos usuários por meio do aplicativo. O script shell permite que os atacantes criem servidores de comando e controle, também chamados de C&C ou C2, por HTTP entre o deles e o sistema da vítima. Esses servidores C2 os ajudam a se comunicar de forma consistente com a máquina comprometida.

De acordo com as descobertas, o malware GMERA rouba informações como nomes de usuários, carteiras de criptomoedas, localização e capturas de tela do sistema dos usuários.

A ESET, no entanto, afirmou ter relatado o problema à Apple e o certificado emitido pela empresa para a Licatrade foi revogado no mesmo dia. Eles acrescentaram ainda que os outros dois certificados usados ​​para aplicativos diferentes já foram revogados no momento em que iniciaram suas análises.

Leia mais:

LEAVE A REPLY

Please enter your comment!
Please enter your name here