Новый троян атаки с использованием вредоносных программ под названием GMERA ориентирована на трейдеров криптовалют, которые используют торговые приложения на Apple, для Mac.

Интернет-безопасности компании ESET обнаружили, что вредоносная программа поставляется с интегрированным в правдоподобное торговле криптовалютой приложений и пытается украсть средства крипто пользователей от их кошельки.

Исследователи еще кибербезопасности фирма тренд микро впервые обнаружен GMERA вредоносных программ в сентябре 2019 году, когда она позировала в качестве Mac-конкретным акциям Stockfolio инвестиционной заявки.

Копирование реальных приложений

Есет нашел операторы вредоносных программ комплексного GMERA оригинальной macOS и торговля криптовалютами Kattana приложения. Они также скопировали сайт компании и продвигают четыре новых приложений-двойников — Cointrazer, Cupatrade, Licatrade и Trezarus — что в комплекте с вредоносных программ.

На поддельных веб-сайтах есть кнопка Скачать, которая связана в zip-архив, содержащий обнаружив версия приложения. По данным ESET, эти приложения имеют полную поддержку для торговой функции.

“Для человека, который не знает Kattana, сайты выглядят легитимными”, – пишут исследователи.

Исследователи также сказал, что преступники были напрямую связавшись с их целевыми значениями, А “социально-инженерной им” для того, чтобы скачать зараженное приложение.

Вредоносные программы в двух словах

Для анализа вредоносных программ, исследователи из компании ESET испытаны образцы из Licatrade, которые, по их словам имеет незначительные различия по сравнению с вредоносных программ на другие приложения, но по-прежнему функционирует таким же образом.

Троянец устанавливает скрипт на компьютере жертвы, что дает операторам доступ к системе пользователей через приложение. После этого сценарий оболочки позволяет злоумышленникам создать командно-управляющих серверов, также называется C&C или C2, по протоколу HTTP между их и систему жертвы. Эти сервера С2 помочь им постоянно общаться с скомпрометированной машине.

Согласно выводам, GMERA вредоносная программа ворует информацию, такую как имена пользователей, криптовалюта, кошельки, расположение и скриншоты от пользователей.

Однако Эсет, сказали, что им сообщили о проблеме в службу поддержки Apple и сертификат, выданный компании в Licatrade было отменено в тот же день. Они также добавили две другие сертификаты, используемые для различных применений уже были отозваны время инициировали их анализ.