ESET ha scoperto alcuni siti internet, che distribuiscono Applicazioni per il trading di criptovalute per MAC OS affette da virus trojan. Analizzando i campioni di malware, ESET ha infatti scoperto che si trattava di una nuova campagna come quella chiamata GMERA, che era stata già analizzata dai ricercatori di Trend Micro nel settembre 2019. Come nei precedenti casi, il malware riconduceva a un server cifrato di C&C (Command & Control) su HTTP connesso da remoto via terminale, collegato a un altro server C&C che utilizzava un indirizzo IP codificato.
Questa volta, tuttavia, non solo i cybercriminali hanno creato una copia fasulla dell’applicazione – oltre a un sito copia identico a quello ufficiale – e inserito il malware nell’eseguibile, ma i ricercatori ESET hanno individuato altre 4 App verificate e usate dagli hacker come esca per distribuire il trojan quali: Cointrazer, Cupatrade, Licatrade e Trezarus.
Le applicazioni autorizzate venivano copiate e collegate al malware GMERA per rubare cookies di navigazione, dati dei portfolio di criptovalute e screenshot. Tra i software usati per attrarre gli utenti c’era l’App autorizzata Kattana.
I ricercatori stanno ancora cercando di individuare dove le applicazioni infette venivano pubblicizzate. Tuttavia, a marzo 2020 il sito ufficiale di Kattana aveva postato un messaggio in cui gli utenti venivano messi in guardia, evidenziando come le vittime erano approcciate direttamente per essere attratte a scaricare l’applicazione infetta.
I siti fasulli sono progettati per far sembrare la fonte del download attendibile. Sul sito copia di Kattana il bottone per il download era linkato a un archivio ZIP, contenente l’eseguibile infetto da trojan.
Oltre all’analisi del codice malware, i ricercatori ESET hanno creato un sistema di monitoraggio (detto Honeypot) per attirare e individuare gli hacker che controllavano il malware GMERA; l’obiettivo dei ricercatori era quello di rivelare gli scopi del gruppo di cybercriminali.
Sulla base delle attività monitorate ESET conferma che gli hacker hanno raccolto informazioni come cookies, cronologie di navigazione, dati dei portafogli di criptovalute e screenshot.