Sliedrecht, 20 juli 2020 – ESET-onderzoekers hebben recentelijk websites ontdekt die trojanized cryptocurrency trading applicaties voor Mac-computers distribueren. Het gaat hier om legitieme applicaties verwikkeld in GMERA-malware. De beheerders van deze malware gebruikten de trojanized app om informatie, zoals cookies, cryptocurrency-wallets en screenshots, te stelen. In deze campagne werd een kopie van de legitieme Kattana-handelsapplicatie gemaakt en werd de malware gebundeld in het installatieprogramma. ESET-onderzoekers zagen in deze campagne vier namen die gebruikt worden voor de trojanized app: Cointrazer, Cupatrade, Licatrade en Trezarus.
“Net als bij eerdere campagnes rapporteert de malware via HTTP aan een Command & Control-server en wordt een remote terminal-sessie met een andere C&C-server opgezet,” zegt Marc-Etienne M.Léveillé, leider van ESETs GMERA-onderzoek.
De onderzoekers van ESET zijn er nog niet in geslaagd te achterhalen waar de trojanized applicaties gepromoot worden. In maart 2020 plaatste de legitieme Kattana-site echter een waarschuwing die suggereerde dat slachtoffers individueel overgehaald worden tot het downloaden van een geïnfecteerde app. Dit duidt op het gebruik van social engineering. Copycat-websites zijn opgezet om het downloaden van de geïnfecteerde applicatie legitiem te laten lijken. De downloadknop op de nepsite linkt naar een ZIP-archief met daarin de geïnfecteerde applicatiebundel.
Naast de analyse van de malwarecode hebben ESET-onderzoekers ook honeypots (onderzoekscomputers) opgezet en GMERA-malware-operators gelokt om deze honeypots op afstand te bedienen. Het doel van de onderzoekers was om de motivaties achter deze groep criminelen aan het licht te brengen. “Op basis van de activiteit die we hebben gezien, kunnen we bevestigen dat de aanvallers browserinformatie hebben verzameld, zoals cookies en browsegeschiedenis, maar ook cryptocurrency-portemonnees en screencaptures,” concludeert M.Léveillé.
Meer technische details over deze laatste campagne van GMERA vind je in onze blogpost, “Mac cryptocurrency trading application rebranded, bundled with malware” op WeLiveSecurity.
Over ESET
Al 30 jaar lang ontwikkelt ESET® toonaangevende IT-beveiligingssoftware en -diensten voor bedrijven en consumenten over de hele wereld. Inmiddels is ESET uitgegroeid tot het grootste IT-security bedrijf van de Europese Unie met oplossingen variërend van endpoint en mobile security, tot encryptie en tweefactorauthenticatie. ESET beschermt en monitort 24/7 op de achtergrond en werkt beveiliging in real-time bij om gebruikers veilig te houden en bedrijven zonder onderbreking te laten werken. Gesteund door R&D-centra over de hele wereld, is ESET het eerste IT-beveiligingsbedrijf dat 100 Virus Bulletin VB100-awards heeft verdiend, waarmee elke afzonderlijke “in-the-wild” malware zonder onderbreking werd geïdentificeerd sinds 2003. Ga voor meer informatie naar www.eset.com/nl of volg ons op LinkedIn, Facebook en Twitter.