Les derniers rapports indiquent que les pirates ont réussi à voler des crypto-monnaies aux crypto-commerçants à l'aide de nouveaux chevaux de Troie ciblant des applications de trading sur Extraits Deest macOS. Cette attaque a utilisé un logiciel malveillant appelé GMERA.
La société de sécurité Internet ESET trouvé que le malware est bien intégré dans les applications de trading crypto d'apparence légitime. Le malware essaie de voler les fonds cryptographiques des utilisateurs de leurs portefeuilles.
Plusieurs chercheurs de la firme de cybersécurité Trend Micro ont initialement découvert Logiciel malveillant GMERA en septembre 2019. A cette époque, le malware se présentait comme l'application d'investissement en stock spécifique au Mac Stockfolio.
Régénérer les vraies applications
ESET a également découvert que les opérateurs de logiciels malveillants ont méticuleusement intégré GMERA à macOS d'origine crypto-trading application Kattana. De plus, ils ont copié le père de la société et font maintenant la promotion d'au moins quatre nouvelles applications de copie, à savoir Cointrazer, Cupatrade, Licatrade et Trezarus. Ces applications de copie sont fournies avec des logiciels malveillants.
Les faux sites ont un bouton de téléchargement intégré dans une archive ZIP contenant la version trojanisée de l'application. Sur la base du rapport d'ESET, toutes ces applications ont un support complet pour toutes les fonctionnalités de trading. Les chercheurs ont écrit:
«Pour une personne qui ne connaît pas Kattana, les sites Web semblent légitimes.»
Selon la découverte des chercheurs, les auteurs ont contacté directement et à plusieurs reprises leurs cibles. De plus, ils les «ont conçus socialement» pour télécharger l'application infectée.
Présentation des logiciels malveillants
Les chercheurs d'ESET ont testé plusieurs échantillons de Licatrade pour analyser ce malware. Ils ont dit qu'il avait quelques différences par rapport aux logiciels malveillants trouvés sur les autres applications. Cependant, il fonctionne toujours de la même manière.
Le cheval de Troie installe un script shell sur l'ordinateur ciblé qui permet à l'attaquant d'accéder au système de l'utilisateur via l'application. Ce script shell permet ensuite aux attaquants de créer plusieurs serveurs de commande et de contrôle, également appelés C&C ou C2, sur HTTP qui opèrent entre le leur et le système de la victime.
Notamment, ces serveurs C2 aident les criminels à communiquer en permanence avec la machine compromise. Sur la base des résultats, le malware GMERA vole ensuite des informations comme portefeuilles crypto; noms d'utilisateurs, emplacement et capture d'écran à partir du système des utilisateurs.
Néanmoins, ESER a déclaré avoir signalé ce problème à Apple, et le certificat délivré par le fabricant de macOS à Licatrade a été révoqué dans la même journée. En outre, ils ont déclaré que les deux autres certificats utilisés pour différentes applications; ont également été révoqués au moment où ils ont tenté de lancer leurs analyses.
English
Arabic
Dutch
French
German
Italian
Polish
Portuguese
Spanish