Comerciantes de criptomonedas utilizan Mac para dirigir aplicaciones troyanas

Se han encontrado cuatro aplicaciones de comercio de criptomonedas troyanizadas que propagan malware que drena las billeteras de criptomonedas y recopila los datos de navegación de los usuarios de Mac. Los investigadores advierten que los usuarios de Mac están siendo blanco de aplicaciones de comercio de criptomonedas troyanizadas, que una vez descargadas agotan las billeteras […]

Se han encontrado cuatro aplicaciones de comercio de criptomonedas troyanizadas que propagan malware que drena las billeteras de criptomonedas y recopila los datos de navegación de los usuarios de Mac.

Los investigadores advierten que los usuarios de Mac están siendo blanco de aplicaciones de comercio de criptomonedas troyanizadas, que una vez descargadas agotan las billeteras de criptomonedas de las víctimas

Las cuatro aplicaciones falsas en cuestión son, Cointrazer, Cupatrade, Licatrade y Trezarus, las que son copias renombradas de una oferta real de aplicación de comercio de criptomonedas llamada Kattana. Los actores detrás de la campaña usaron sitios web que copian el sitio web legítimo de Kattana para convencer así a sus víctimas. Los sitios web falsos incluyen un botón de descarga, con un enlace a un archivo ZIP que contiene el paquete de aplicaciones trojanizadas.

“Para una persona que no conoce Kattana, los sitios web parecen legítimos”, dijo Marc-Etienne M. Léveillé, investigador senior de malware de ESET, en un análisis la semana pasada. “No solo los autores del malware envolvieron [copias de] la aplicación original y legítima para incluir malware; También cambiaron el nombre de la aplicación comercial Kattana con nuevos nombres y copiaron su sitio web original”.

Una vez descargadas, las aplicaciones troyanizadas se implementa el malware llamado GMERA para recopilar información del navegador de las víctimas (incluidas sus cookies y el historial de navegación), acceder y drenar sus billeteras de criptomonedas y tomar capturas de pantalla de sus dispositivos.

Aplicaciones maliciosas

Los investigadores dijeron que esta campaña más reciente ha evolucionado para usar aplicaciones nuevas y renombradas, sin embargo, “como en las campañas anteriores, el malware informa a un servidor [Comando y Control] a través de HTTP y conecta sesiones de terminal remotas a otro servidor [C2] usando una dirección IP codificada “.

Las cuatro aplicaciones en cuestión tienen diferencias menores, pero las funcionalidades son generalmente las mismas, dijeron los investigadores. En una inmersión profunda de la muestra de Licatrade, los investigadores descubrieron que el paquete de la aplicación incluye un script de shell (run.sh), que una vez descargado inicia e intenta establecer la persistencia en el sistema de las víctimas mediante la instalación de un Agente de lanzamiento.

Aplicación falsa de criptomonedas para MacSin embargo, “es interesante observar que la persistencia se rompe en el ejemplo de Licatrade: el contenido del archivo resultante del Agente de lanzamiento (.com.apple.system.plist) no está en formato de Lista de propiedades como se espera que se ejecute, sino que es el comando línea a ejecutar ”, dijo Léveillé.

La última línea del script de shell configura un shell inverso para el servidor de los operadores, que luego permite a los atacantes enviar los diversos comandos maliciosos al malware.