ESET araştırmacıları, kripto para ticaret programlarındaki kötü amaçlı yazılımları analiz ediyor
Mac kullanıcılarının kötü amaçlı yazılım saldırılarının ve siber suçluların hedefi olmadığı gerçeği, uzmanlar arasında uzun süredir eski bir koca masalı. ESET araştırmacıları, macOS işletim sistemini hedef alan siber suç faaliyetlerini bir kez daha ortaya çıkardı ve analiz etti. Slovak BT güvenlik uzmanları, sahte sağlayıcı sitelerinde manipüle edilmiş kripto ticaret yazılımı keşfetti. Programların tümü, kötü amaçlı kod dağıtıcıları tarafından GMERA kötü amaçlı yazılımıyla sağlanan meşru bir uygulamanın klonlarıdır. Bunu yapmak için, suçlular ünlü Kattana ticaret yazılımını kötüye kullandılar, yeniden adlandırdılar ve kötü amaçlı yazılımı kurulum programlarına entegre ettiler. Ayrıca failler, ziyaretçileri kandırarak manipüle edilmiş ve kötü amaçlı uygulamayı yüklemeleri için üreticinin web sitesini kopyaladı. Şimdiye kadar ESET araştırmacıları, İnternette şu isimlerle sunulan ticaret yazılımının dört kopyasını keşfetti: Cointrazer, Cupatrade, Licatrade ve Trezarus.
Araştırmayı yürüten ESET araştırmacısı Marc-Etienne M.Léveillé, "Kötü amaçlı yazılım, HTTP aracılığıyla bir Komuta ve Kontrol sunucusunda oturum açar ve sabit kodlanmış bir IP adresi üzerinden başka bir C&C sunucusuyla bir uzak terminal oturumu oluşturur" dedi. "Suçluların amacı, tarayıcı verileri, kripto cüzdanları ve masaüstü ekran görüntüleri gibi hassas kullanıcı verilerini toplamaktır."
Yazılımın ve web sitesinin neredeyse aynı kopyası
Siber suçlular, Kattana'nın web sitesini ve ticaret yazılımını kopyalayıp yeniden adlandırdı. Web sitelerinde kural olarak sadece logo değiş tokuşu yapılıyordu. Şimdiye kadar, suçluların kötü niyetli ticaret programlarını nasıl ve ne ölçüde teşvik ettikleri ve dağıttıkları hala belirsiz. Avrupa BT güvenlik üreticisindeki uzmanlar, kopyaların sosyal mühendislik aracılığıyla sunulduğundan şüpheleniyor. Bunun bir göstergesi: Mart 2020'de resmi Kattana web sitesi, kurbanların kötü amaçlı bir uygulama indirmeleri için kandırılmak üzere hedef alındığını belirten bir uyarı yayınladı. Sahte web sitelerindeki indirme düğmesi, kötü amaçlı uygulamayı içeren bir ZIP arşivine bağlanır. Kopyaların hiçbiri Apple Store'a ulaşmadı.
ESET Welivesecurity.com adresinden daha fazla bilgi edinin