Investigadores de ESET analizan malware en programas de intercambio de criptomonedas
El hecho de que los usuarios de Mac no sean el objetivo de los ataques de malware y los ciberdelincuentes ha sido durante mucho tiempo un cuento de viejas entre los expertos. Los investigadores de ESET han descubierto y analizado una vez más las actividades de ciberdelincuencia dirigidas al sistema operativo macOS. Los expertos en seguridad de TI de Eslovaquia descubrieron software de comercio de criptografía manipulado en sitios de proveedores falsos. Todos los programas son clones de una aplicación legítima que los distribuidores de códigos maliciosos proporcionaron con el malware GMERA. Para ello, los delincuentes hicieron un mal uso del conocido software comercial Kattana, le cambiaron el nombre e integraron el malware en su programa de instalación. Además, los perpetradores copiaron el sitio web del fabricante para engañar a los visitantes para que instalaran la aplicación manipulada y maliciosa. Hasta el momento, los investigadores de ESET han descubierto cuatro copias del software comercial en Internet, que se ofrecían con los siguientes nombres: Cointrazer, Cupatrade, Licatrade y Trezarus.
"El malware inicia sesión en un servidor Command & Control a través de HTTP y crea una sesión de terminal remota a través de una dirección IP codificada con otro servidor C&C", dijo el investigador de ESET Marc-Etienne M.Léveillé, quien dirigió la investigación. "El objetivo de los delincuentes es recopilar datos confidenciales de los usuarios, como datos del navegador, billeteras criptográficas y capturas de pantalla de escritorio".
Copia casi idéntica de software y sitio web
Los ciberdelincuentes copiaron y renombraron el sitio web y el software comercial de Kattana. Como regla general, solo se intercambiaba el logotipo en los sitios web. Hasta el momento, aún no está claro cómo y en qué medida los delincuentes han promovido y distribuido los programas comerciales maliciosos. Los expertos del fabricante europeo de seguridad informática sospechan que las copias se ofrecieron mediante ingeniería social. Una indicación de esto: en marzo de 2020, el sitio web oficial de Kattana publicó una advertencia que indicaba que las víctimas estaban siendo atacadas para engañarlas para que descargaran una aplicación maliciosa. El botón de descarga en los sitios web falsos enlaza con un archivo ZIP que contiene la aplicación maliciosa. Ninguna de las copias llegó a la Apple Store.
Más información en ESET Welivesecurity.com