Logo
Imprimir esta página

Aplicativo de negociação de criptomoedas para Mac é usado para distribuir malware

Aplicativo de negociação de criptomoedas para Mac é usado para distribuir malware

ESET analisa o malware GMERA e como, através de aplicativos para comprar e vender criptomoedas voltadas para usuários de Mac, ele tenta roubar informações

A ESET, empresa líder em detecção proativa de ameaças, identificou sites que distribuem aplicativos mal-intencionados para comprar e vender moedas criptografadas destinadas a usuários de Mac. O malware usado destina-se a roubar informações, como cookies do navegador, carteiras de criptomoedas e capturas de tela.

Ao analisar as amostras do malware, a ESET descobriu que se tratava de uma nova campanha GMERA, vista pela primeira vez em setembro de 2019. Desta vez, os autores do malware não apenas envolveram a ameaça em um aplicativo original e legítimo, mas também modificaram o nome do aplicativo comercial Kattana e fizeram cópias de seu site original. Nesse sentido, foram identificadas as seguintes marcas fictícias, sendo utilizadas em diferentes campanhas: Cointrazer, Cupatrade, Licatrade e Trezarus. Além de analisar o código do malware, os pesquisadores da ESET também criaram honeypots para tentar revelar as motivações do grupo de cibercriminosos por trás desse código malicioso.

Na época, não foi identificado onde esses aplicativos são promovidos. No entanto, em março de 2020, a Kattana emitiu um aviso sugerindo que as vítimas foram abordadas individualmente com a intenção de induzi-las a baixar um aplicativo malicioso. Embora não tenha sido confirmado que esteja vinculado a essa campanha específica, pode ser o caso.

Os sites copiados são configurados para fazer com que o download do aplicativo falso pareça legítimo. Nesse caso, para um usuário que não conhece a Kattana, os sites têm uma aparência legítima.

Site malicioso sob o nome de Licatrade contendo um link para baixar o malware

O botão de download em sites falsos é um link para um arquivo ZIP que contém o pacote de aplicativos Trojanized. Quando o arquivo é baixado, as modificações nos registros de data e hora dos arquivos contidos no ZIP, bem como a data em que o aplicativo foi assinado e a última modificação (Last-Modified) do cabeçalho HTTP, indicam a data do 15 de abril de 2020. Ao que tudo indica, esta campanha começou nesta data.

Para cada uma das outras campanhas analisadas, foi utilizado um certificado diferente. Ambos já foram revogados pela Apple no momento em que a análise começou. No caso da Cointrazer, houve apenas uma diferença de 15 minutos entre o momento em que a Apple emitiu o certificado e os criminosos o usaram para assinar seu aplicativo Trojanized. Isso e o fato de que nada mais foi encontrado assinado com a mesma chave sugerem que eles obtiveram o certificado explicitamente para esse fim.

Para saber mais sobre as intenções desse grupo, todas as interações entre o shell reverso dos backdoors do GMERA e os operadores desse malware foram monitoradas. Quando conectado pela primeira vez, o servidor C&C enviou um script curto para coletar o nome de usuário, a versão do macOS e o local (com base no endereço IP externo) do dispositivo comprometido.

De acordo com a atividade testemunhada, a ESET conclui que alguns dos interesses dos operadores desse malware são:

• Informações do navegador (cookies, histórico)

• Carteiras de criptomoeda

• Capturas de tela

"As numerosas campanhas realizadas por esse grupo mostram quanto esforço foi feito no ano passado para envolver os usuários de Mac através do comércio online. Ainda não temos certeza de como alguém se torna uma vítima e consegue baixar um dos aplicativos Trojanized, mas a hipótese de que os operadores entram em contato diretamente com seus alvos e os persuadem através da engenharia social para finalmente instalar o aplicativo mal-intencionado parece ser o problema mais provável", disse Camilo Gutierrez, chefe do Laboratório de Pesquisa da ESET na América Latina.

Para te ajudar a ficar em casa

A ESET aderiu à campanha #FiqueEmCasa, oferecendo proteção para dispositivos e conteúdos que ajudam os usuários a aproveitar os dias em casa e garantir a segurança dos pequenos enquanto se divertem online em meio à pandemia.

No site, os usuários podem ter acesso a: ESET INTERNET SECURITY grátis por 3 meses para proteger todos os dispositivos domésticos, Guia de Teletrabalho, com práticas para trabalhar em casa sem riscos, Academia ESET, para acessar cursos online que auxiliam a tirar mais proveito da tecnologia e o DigiPais, para ler conselhos sobre como acompanhar e proteger crianças na web.

Para saber mais sobre segurança da informação, entre no portal de notícias da ESET: http://www.welivesecurity.com/br/

Sobre a ESET

Desde 1987, a ESET® desenvolve soluções de segurança que ajudam mais de 100 milhões de usuários a aproveitar a tecnologia com segurança. Seu portfólio de soluções oferece às empresas e consumidores de todo o mundo um equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas que abrange 180 países e possui escritórios em Bratislava, San Diego, Cingapura, Buenos Aires, Cidade do México e São Paulo. Para mais informações, visite http://www.eset.com/br ou siga-nos no LinkedIn, Facebook e Twitter .

Copyright © 1992 - 2020. Todos os direitos reservados. ESET e NOD32 são marcas registradas da ESET. Outros nomes e marcas são marcas registradas de suas respectivas empresas.


Compartilhe:: Participe do GRUPO SEGS - PORTAL NACIONAL no FACEBOOK...:
 https://www.facebook.com/groups/portalnacional/

<::::::::::::::::::::>
IMPORTANTE.: Voce pode replicar este artigo. desde que respeite a Autoria integralmente e a Fonte...  www.segs.com.br
<::::::::::::::::::::>
No Segs, sempre todos tem seu direito de resposta, basta nos contatar e sera atendido. -  Importante sobre Autoria ou Fonte..: - O Segs atua como intermediario na divulgacao de resumos de noticias (Clipping), atraves de materias, artigos, entrevistas e opinioes. - O conteudo aqui divulgado de forma gratuita, decorrem de informacoes advindas das fontes mencionadas, jamais cabera a responsabilidade pelo seu conteudo ao Segs, tudo que e divulgado e de exclusiva responsabilidade do autor e ou da fonte redatora. - "Acredito que a palavra existe para ser usada em favor do bem. E a inteligencia para nos permitir interpretar os fatos, sem paixao". (Autoria de Lucio Araujo da Cunha) - O Segs, jamais assumira responsabilidade pelo teor, exatidao ou veracidade do conteudo do material divulgado. pois trata-se de uma opiniao exclusiva do autor ou fonte mencionada. - Em caso de controversia, as partes elegem o Foro da Comarca de Santos-SP-Brasil, local oficial da empresa proprietaria do Segs e desde ja renunciam expressamente qualquer outro Foro, por mais privilegiado que seja. O Segs trata-se de uma Ferramenta automatizada e controlada por IP. - "Leia e use esta ferramenta, somente se concordar com todos os TERMOS E CONDICOES DE USO".
<::::::::::::::::::::>

Copyright Clipping ©2002-2024 - SEGS Portal Nacional de Seguros, Saúde, Veículos, Informática, Info, Ti, Educação, Eventos, Agronegócio, Economia, Turismo, Viagens, Vagas, Agro e Entretenimento. - Todos os direitos reservados.- www.SEGS.com.br - IMPORTANTE:: Antes de Usar o Segs, Leia Todos os Termos de Uso.
SEGS é compatível com Browsers Google Chrome, Firefox, Opera, Psafe, Safari, Edge, Internet Explorer 11 - (At: Não use Internet Explorer 10 ou anteriores, além de não ter segurança em seu PC, o SEGS é incompatível)
Por Maior Velocidade e Mais Segurança, ABRA - AQUI E ATUALIZE o seu NAVEGADOR(Browser) é Gratuíto