Компанія ESET — лідер у галузі інформаційної безпеки — повідомляє про виявлення сайтів, які поширюють троянські додатки для торгівлі криптовалютою та спрямовані на комп'ютери Mac. Це були легітимні програми зі шкідливим програмним забезпеченням GMERA, яке використовувалося для викрадення такої інформації, як файли cookie браузера, гаманці криптовалют та знімки екрана.
Під час цієї кампанії зловмисники створили декілька версій легітимної програми Kattana з різними назвами та налаштували сайти-двійники, додаючи шкідливе ПЗ у їх інсталятор. Дослідники ESET зафіксували 4 назви троянського додатка, які використовувалися в цій кампанії: Cointrazer, Cupatrade, Licatrade та Trezarus.
«Як і в попередніх кампаніях, шкідлива програма зв’язується з командним сервером (C&C) за протоколом HTTP і відкриває термінальні сесії з іншим командним сервером, використовуючи жорстко закодовану IP-адресу», — коментує Марк-Етьєн М. Левейле, дослідник компанії ESET.
Як зловмисники просували троянські додатки поки що невідомо. Хоча у березні 2020 року легітимний сайт Kattana опублікував попередження про зловмисників, які заманюють користувачів завантажити троянський додаток за допомогою індивідуальних звернень, що вказує на використання соціальної інженерії. Також кіберзлочинці створюють сайти-двійники, щоб завантаження підробленої програми виглядало легітимно. Зазвичай, зловмисники розміщують на сайті кнопку з посиланням для завантаження ZIP-архіву, який містить набір троянських додатків.
Крім цього, щоб розкрити мотиви групи кіберзлочинців GMERA, спеціалісти ESET створили приманку на комп'ютерах, які використовувались для дослідження. «На основі виявленої шкідливої активності ми можемо підтвердити, що зловмисники збирали інформацію про браузери, наприклад, файли cookie та історію відвідувань, а також гаманці криптовалют та знімки екрана», — робить висновок Марк-Етьєн М. Левейле.
Кіберзлочинці доклали великих зусиль, щоб скомпрометувати користувачів Mac, які займаються онлайн-торгівлею. Хоча як саме користувачі стають жертвами, завантажуючи один з троянських додатків так і не стало відомо. Найбільш ймовірним варіантом залишається застосування методів соціальної інженерії для встановлення шкідливої програми.
Варто зазначити, що в останній версії macOS дії зловмисників були обмеженими. Дослідники не помітили спроби кіберзлочинців обійти обмеження нової версії ОС, пов'язані зі створенням знімків екрана. Тому щоб побачити екран комп'ютера жертви, який працює під управлінням Catalina, зловмисники мали аналізувати вже існуючі скріншоти користувача. Це гарний приклад, який свідчить про ефективність оновлення операційної системи для протидії зловмисникам.
Щоб отримати додаткову інформацію про троянський додаток та ідентифікатори компрометації перейдіть за посиланням.