Los investigadores advierten que los usuarios de Mac están siendo atacados por aplicaciones de comercio de criptomonedas troyanizadas, que una vez descargadas en realidad vacian las billeteras de criptomonedas de las víctimas.
Las cuatro aplicaciones falsas en cuestión, Cointrazer, Cupatrade, Licatrade y Trezarus, dicen ser copias renombradas de una oferta real de aplicación de comercio de criptomonedas llamada Kattana. Los actores detrás de la campaña utilizaron sitios web que copian el sitio web legítimo de Kattana para convencer a los entusiastas involuntarios de las criptomonedas de que descarguen las aplicaciones falsas. Los sitios web falsos incluyen un botón de descarga, con un enlace a un archivo ZIP que contiene el paquete de aplicaciones trojanizadas.
"Para una persona que no conoce Kattana, los sitios web parecen legítimos", dijo Marc-Etienne M. Léveillé, investigador senior de malware de ESET, en un análisis la semana pasada. “No solo los autores del malware envolvieron [copias de] la aplicación original y legítima para incluir malware; sino también cambiaron el nombre de la aplicación comercial Kattana con nuevos nombres y copiaron su sitio web original ".
Una vez descargadas, las aplicaciones troyanizadas en cuestión implementan malware llamado GMERA para recopilar información del navegador de las víctimas (incluidas sus cookies y el historial de navegación), acceder y drenar sus billeteras de criptomonedas y tomar capturas de pantalla de sus dispositivos.
GMERA fue descubierto previamente por investigadores de Trend Micro, quienes en septiembre de 2019 dijeron que el malware se estaba propagando a través de aplicaciones de criptomonedas troyanizadas en una campaña separada, aprovechando versiones maliciosas de la aplicación comercial Stockfolio.
Aplicaciones maliciosas
Los investigadores dijeron que esta campaña más reciente ha evolucionado para usar aplicaciones nuevas y renombradas, sin embargo, “como en las campañas anteriores, el malware informa a un servidor [Comando y Control] a través de HTTP y conecta sesiones de terminal remotas a otro servidor [C2] usando una dirección IP codificada ".
Las cuatro aplicaciones en cuestión tienen diferencias menores, pero las funcionalidades son generalmente las mismas, dijeron los investigadores. En una inmersión profunda de la muestra de Licatrade, los investigadores descubrieron que el paquete de la aplicación incluye un script de shell (run.sh), que una vez descargado lanza e intenta establecer persistencia en el sistema de las víctimas mediante la instalación de un Agente de lanzamiento.
Aplicación falsa de criptomonedas para MacSin embargo, "es interesante observar que la persistencia se rompe en la muestra de Licatrade: el contenido del archivo resultante del Agente de lanzamiento (.com.apple.system.plist) no está en formato de Lista de propiedades como lo espera lanzarlo, sino que es el comando línea a ejecutar ”, dijo Léveillé.
La última línea del script de shell configura un shell inverso para el servidor de los operadores, que luego permite a los atacantes enviar los diversos comandos maliciosos al malware.
Licatrade se firmó con un certificado con el campo de nombre común establecido en "Andrey Novoselov" y con el ID de desarrollador M8WVDT659T. El certificado fue emitido por Apple el 6 de abril de 2020 y revocado el mismo día que los investigadores notificaron a Apple sobre la aplicación maliciosa.
Los investigadores creen que esta campaña comenzó el 15 de abril de 2020, ya que esa era la fecha en las marcas de tiempo de modificación de los archivos en el archivo ZIP, la fecha en que se firmó la solicitud y el último encabezado HTTP modificado cuando descargaron el archivo.
Kattana, con sede en Suiza, también advirtió previamente sobre aplicaciones maliciosas y renombradas, publicando una advertencia en Twitter que sugiere que sus usuarios fueron "contactados" individualmente para atraerlos a descargar un "servicio de copia maliciosa" de su software.
