Onderzoekers van ESET hebben onlangs websites ontdekt die getrojaniseerde cryptocurrency tradingtoepassingen voor Mac-computers verspreiden. Het gaat om legitieme apps, verpakt in GMERA-malware, die door de operatoren werden gebruikt om informatie te stelen zoals browsercookies, portefeuilles voor cryptocurrency en screenshots.


Hoe heeft technologie een impact op je business?
Ontvang elke week het zakelijk IT-nieuws rechtstreeks in je inbox!



Onderzoekers van ESET hebben onlangs websites ontdekt die getrojaniseerde cryptocurrency tradingtoepassingen voor Mac-computers verspreiden. Het gaat om legitieme apps, verpakt in GMERA-malware, die door de operatoren werden gebruikt om informatie te stelen zoals browsercookies, portefeuilles voor cryptocurrency en screenshots. In deze campagne werd de legitieme Kattana tradingapp omgedoopt – inclusief het opzetten van copycat-websites – en werd de malware gebundeld in het installatieprogramma. Het ESET-team ontdekte in deze campagne vier namen die voor de getrojaniseerde app gebruikt werden: Cointrazer, Cupatrade, Licatrade en Trezarus.

“Net als in eerdere campagnes, rapporteert de malware via HTTP aan een Command & Control-server en verbindt hij externe terminalsessies met een andere C & C-server met een hardgecodeerd IP-adres”, zegt ESET-onderzoeker Marc-Etienne Léveillé, die het GMERA-onderzoek leidde.

De ESET-onderzoekers hebben nog niet kunnen vinden waar deze getrojaniseerde applicaties precies gepromoot worden. In maart jongsleden plaatste de legitieme Kattana-site echter een waarschuwing die suggereert dat slachtoffers individueel worden benaderd om hen te verleiden tot het downloaden van een trojan-app, wat op social engineering wijst.  Copycat-websites zijn zo opgebouwd dat de nep-applicatie er legitiem uitziet. De downloadknop op de nep-site is een link naar een ZIP-archief met de getrojaniseerde applicatiebundel.

Naast de analyse van de malwarecode hebben ESET-onderzoekers ook honeypots (onderzoekscomputers) opgezet en operatoren van GMERA-malware gelokt om de honeypots op afstand te bedienen. De bedoeling van de onderzoekers was om de motivaties achter deze groep criminelen te vinden. “Op basis van de activiteit die we gezien hebben, kunnen we bevestigen dat de aanvallers browserinformatie hebben verzameld zoals cookies en browsegeschiedenis, portefeuilles met cryptocurrency en screenshots”, besluit Marc-Etienne Léveillé.

Voor meer technische details over de nieuwste kwaadaardige GMERA-campagne, lees de volledige blogpost “Mac cryptocurrency trading application rebranded, bundled with malware,” op www. WeLiveSecurity.com. Voor de nieuwste info over ESET Research  volg ESET Research on Twitter.

Bezoek voor meer informatie over het aanbod van ESET https://www.eset.com/be-nl/

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here