بر اساس گزارش های منتشرشده، محققان با استفاده از برنامه های معاملاتی در macOS، یک تروجان جدید را که معامله گران ارز دیجیتالی
یک حمله تروجان جدید با استفاده از بدافزار موسوم به GMERA، معامله گران ارز دیجیتالی را که از برنامه های معاملاتی در macOS اپل استفاده می کنند، هدف قرار داده است.
شرکت امنیت اینترنتی ESET دریافت که این بدافزار در برنامه های معاملاتی ارزهای دیجیتال ادغام شده است و تلاش می کند تا وجوه ارز دیجیتال کاربران را از کیف پول آنها سرقت کند.
محققان یکی دیگر از شرکت های امنیت سایبری به نام Trend Micro ابتدا بدافزار GMERA را در سپتامبر ۲۰۱۹ کشف کردند، زمانی که این برنامه به عنوان برنامه سرمایه گذاری سهام خاص Mac معرفی شده بود.
کپی کردن برنامه های واقعی
ESET دریافت که اپراتورهای بدافزار، GMERA را در برنامه اورجینال معاملات ارز دیجیتال macOS به نام Kattana ادغام کرده اند. آنها همچنین وب سایت این شرکت را کپی کرده اند و چهار برنامه کاربردی جدید به نام copycat – Cointrazer ، Cupatrade ، Licatrade و Trezarus را تبلیغ می کنند که با این بدافزار همراه هستند.
این وب سایت های جعلی دارای دکمه بارگیری هستند که به یک بایگانی ZIP که شامل نسخه trojanized برنامه است وصل شده است. بر اساس گزارش ESET، این برنامه ها از عملکردهای معاملاتی پشتیبانی کامل دارند.
محققان نوشتند: “برای کسی که Kattana را نمی شناسد، وب سایت ها مشروع به نظر می رسند.”
این محققان همچنین عنوان کردند که این عاملان برای بارگیری این برنامه آلوده مستقیماً با معامله گران هدف خود تماس گرفته اند.
به منظور تجزیه و تحلیل این بدافزار، محققان ESET نمونه هایی از Licatrade را آزمایش کردند که به گفته آنها اختلافات جزئی در مقایسه با این بدافزار در سایر برنامه ها وجود دارد اما هنوز هم روش کارشان یکسان است.
این تروجان یک اسکریپت را روی رایانه قربانی نصب می کند که از طریق این برنامه اپراتورها اجازه دسترسی به سیستم کاربران را دارند. اسکریپت سپس به مهاجمان اجازه می دهد تا سرورهای فرمان و کنترل را که C&C یا C2 نامیده می شوند از طریق HTTP بین آنها و سیستم قربانی ایجاد کنند. این سرورهای C2 به آنها کمک می کند تا پیوسته با دستگاه در معرض خطر ارتباط برقرار کنند.
طبق یافته ها، بدافزار GMERA اطلاعاتی از قبیل نام کاربری ها، کیف پول ارز دیجیتال، موقعیت مکانی را از سیستم کاربران به سرقت می برد. با این حال ESET گفت که آنها این موضوع را به اپل گزارش کرده اند و گواهی صادر شده توسط این شرکت به Licatrade در همان روز ابطال شد. آنها همچنین اضافه کردند که دو گواهینامه دیگر که برای کاربردهای مختلف مورد استفاده قرار گرفته اند، با شروع تحقیقات آنها لغو شدند.
