Um novo ataque de trojan usando um malware chamado GMERA está direcionado aos traders de criptomoedas que usam aplicativos de negociação no macOS da Apple.
A empresa de segurança na Internet ESET descobriu que o malware é integrado a aplicativos de comércio de criptomoedas de aparência legítima e tenta roubar os fundos dos usuários de suas carteiras.
Pesquisadores de outra empresa de cibersegurança, Trend Micro, descobriram o malware GMERA pela primeira vez em setembro de 2019, quando se apresentava como o aplicativo de investimento em ações específico para Mac, chamado Stockfolio.
Copiando aplicativos reais
A ESET descobriu que os operadores de malware integraram o GMERA ao Kattana, aplicativo de comércio de criptomoedas para o macOS. Eles também copiaram o site da empresa e estão promovendo quatro novos aplicativos copiados - Cointrazer, Cupatrade, Licatrade e Trezarus - que vêm com o malware.
Os sites falsos têm um botão de download, que está vinculado a um arquivo ZIP que contém a versão trojanizada do aplicativo. De acordo com a ESET, esses aplicativos têm suporte total às funcionalidades de negociação.
"Para uma pessoa que não conhece o Kattana, os sites parecem legítimos", escreveram os pesquisadores.
Os pesquisadores também disseram que os autores entraram em contato diretamente com seus alvos e os “projetaram socialmente” para baixar o aplicativo infectado.
O malware em poucas palavras
Para analisar o malware, os pesquisadores da ESET testaram amostras do Licatrade, que eles disseram ter pequenas diferenças em comparação com o malware em outros aplicativos, mas ainda funcionam da mesma maneira.
O cavalo de Troia instala um script shell no computador da vítima que dá aos operadores acesso ao sistema dos usuários por meio do aplicativo. O script shell permite que os atacantes criem servidores de comando e controle, também chamados de C&C ou C2, por HTTP entre o deles e o sistema da vítima. Esses servidores C2 os ajudam a se comunicar de forma consistente com a máquina comprometida.
De acordo com as descobertas, o malware GMERA rouba informações como nomes de usuários, carteiras de criptomoedas, localização e capturas de tela do sistema dos usuários.
A ESET, no entanto, afirmou ter relatado o problema à Apple e o certificado emitido pela empresa para a Licatrade foi revogado no mesmo dia. Eles acrescentaram ainda que os outros dois certificados usados para aplicativos diferentes já foram revogados no momento em que iniciaram suas análises.
Leia mais:
- Contas de Obama, Elon Musk, Kanye West, Bill Gates e outros famosos também são alvos de hacks no Twitter
- Conheça os 3 modelos de preço do Bitcoin mais controversos e o que eles prevêem
- Usuários do Bitcoin externam frustração à medida que o hasrate cai 50% em 4 dias
- Preço do Bitcoin rebate em US$ 10,8 mil enquanto mercados cripto esperam pela Bakkt
- Fornecedor de eletrônicos suíço SIRIN Labs vai enviar seu primeiro smartphone baseado em blockchain
- CEO da OKEx sai para "iniciar uma nova vida" à medida que a bolsa supera a posição de maior do mundo