محققان با استفاده از برنامه های معاملاتی در macOS، یک تروجان جدید را که با هدف معامله گران رمزنگاری شده کشف کردند.
یک حمله تروجان جدید با استفاده از بدافزار موسوم به GMERA ، معامله گران ارز دیجیتال را که از برنامه های معاملاتی در macOS اپل استفاده می کنند، هدف قرار داده است.
شرکت امنیت اینترنتی ESET فهمید که این بدافزار در برنامه های تجارت ظاهرا معتبر ارز دیجیتال مشروط به ادغام است و تلاش می کند تا وجوه رمزنگاری کاربران را از کیف پول آنها سرقت کند.
محققان یکی دیگر از شرکتهای امنیت سایبری به نام Trend Micro ابتدا بدافزار GMERA را در سپتامبر 2019 کشف کردند، وقتی این برنامه به عنوان برنامه سرمایه گذاری سهام خاص Mac معرفی شده است.
کپی کردن برنامه های واقعی
با کپی کردن برنامه های کاربردی واقع شده ، نرم افزارهای مخرب GMERA را با برنامه اصلی تجارت رمزنگاری رمزنگاری Kattana ادغام کرده اند. آنها همچنین وب سایت این شرکت را کپی کرده اند و چهار برنامه کاربردی جدید copycat – Cointrazer ، Cupatrade ، Licatrade و Trezarus را تبلیغ می کنند که همراه با این بدافزار هستند.
وب سایت های جعلی دارای دکمه بارگیری هستند که به یک بایگانی زیپ که شامل نسخه های دارای تروجان برنامه است وصل شده است. براساس ESET، این برنامه ها پشتیبانی کامل از عملکردهای تجاری را دارند.
محققان نوشتند: “برای كسی كه كاتانا را نمی شناسد ، وب سایت هایی سهاتند که قانونی به نظر می رسند.”
محققان همچنین گفتند که عاملان برای بارگیری برنامه آلوده مستقیماً با اهداف خود تماس گرفته و آنها را “مهندسی اجتماعی” خوانده اند.
بدافزار در یک کلام
برای تجزیه و تحلیل بدافزار، محققان ESET نمونه هایی از Licatrade را آزمایش کردند که به گفته آنها اختلافات جزئی در مقایسه با بدافزار در سایر برنامه ها وجود دارد اما هنوز هم به همین روش کار می کند.
این تروجان یک اسکریپت پوسته را روی رایانه قربانی نصب می کند که به اپراتورها از طریق برنامه اجازه دسترسی به سیستم کاربران را می دهد. اسکریپت پوسته سپس به مهاجمان اجازه می دهد تا سرورهای فرمان و کنترل را همچنین با نام های C&C یا C2 ، از طریق HTTP بین آنها و سیستم قربانی ایجاد کنند. این سرورهای C2 به آنها کمک می کند تا پیوسته با دستگاه سازش شده ارتباط برقرار کنند.
طبق یافته ها، بدافزار GMERA اطلاعاتی از قبیل نام کاربر، کیف پول رمزنگاری، موقعیت مکانی و ضبط صفحه را از سیستم کاربران دزدی می کند.
با این حال ESET گفت كه آنها این موضوع را به اپل گزارش كرده اند و گواهی صادر شده توسط این شرکت به Licatrade در همان روز ابطال شد. آنها همچنین اضافه كردند كه دو گواهینامه دیگر كه برای كاربردهای مختلف مورد استفاده قرار گرفته اند، با شروع تحقیقات خود، قبلاً لغو شدند.