Дослідники ESET аналізують шкідливі програми в програмах для торгівлі криптовалютами
Той факт, що користувачі Mac не є мішенню для атак зловмисного програмного забезпечення та кіберзлочинців, уже давно є бабусею серед експертів. Дослідники ESET знову виявили та проаналізували кіберзлочинність, спрямовану проти операційної системи macOS. Словацькі експерти з ІТ-безпеки виявили маніпульоване програмне забезпечення для криптотрейдингу на сайтах підроблених провайдерів. Усі програми є клонами легітимної програми, яку розповсюджувачі шкідливого коду надали зі зловмисним програмним забезпеченням GMERA. Для цього зловмисники зловживали відомим програмним забезпеченням для торгівлі Kattana, перейменували його та інтегрували шкідливе ПЗ у свою програму встановлення. Крім того, зловмисники скопіювали веб-сайт виробника, щоб обманом змусити відвідувачів встановити маніпульовану та шкідливу програму. Наразі дослідники ESET виявили в Інтернеті чотири копії торгового програмного забезпечення, яке пропонувалося під такими назвами: Cointrazer, Cupatrade, Licatrade і Trezarus.
«Зловмисне програмне забезпечення входить на сервер командування та керування через HTTP та створює сеанс віддаленого терміналу через жорстко закодовану IP-адресу з іншим сервером C&C», — сказав дослідник ESET Марк-Етьєн М. Левейле, який керував розслідуванням. «Мета злочинців — зібрати конфіденційні дані користувачів, такі як дані браузера, криптогаманці та скріншоти робочого столу».
Майже ідентична копія програмного забезпечення та сайту
Кіберзлочинці скопіювали та перейменували веб-сайт і програмне забезпечення для торгівлі Kattana. Як правило, на сайтах обмінювався тільки логотип. Поки що незрозуміло, як і в якому обсязі зловмисники просували та поширювали шкідливі торгові програми. Експерти європейського виробника ІТ-безпеки підозрюють, що копії були запропоновані за допомогою соціальної інженерії. Ознака цього: у березні 2020 року офіційний веб-сайт Kattana опублікував попередження про те, що жертви були ціллю, щоб обманом змусити їх завантажити шкідливу програму. Кнопка завантаження на фейкових веб-сайтах посилається на ZIP-архів, що містить шкідливу програму. Жодна з копій не потрапила в Apple Store.
Дізнайтеся більше на ESET Welivesecurity.com