ESET araştırmacıları, Mac kullanıcılarını hedef alan yeni bir truva atı tespit etti. Çeşitli kripto para ticareti web sitelerinden bulaştığı belirlenen truva atı; kripto para cüzdanlarına ilişkin bilgileri ve ekran görüntüleri elde etmeye odaklanıyor.
Siber güvenlik kuruluşu ESET’ten araştırmacılar, Mac bilgisayarlar için truva atı yerleştirilmiş kripto para ticareti uygulamaları bulunan web siteleri olduğunu belirledi. Araştırmacılar, bunların siber suçlular tarafından; tarayıcı çerezleri, kripto para cüzdanları ve ekran görüntülerini çalmak için kullanılan kötü amaçlı GMERA yazılımı yerleştirilmiş yasal uygulamalar olduğunu tespit etti.
Yasal ticaret sitesi yeniden oluşturulmuş
Bu saldırı çabasında, taklit web sitelerinin kurulması da dahil olmak üzere, yasal “Kattana“ ticaret uygulaması yeniden markalanmış ve kurulum dosyasının içine kötü amaçlı yazılım yerleştirilmiş. ESET araştırmacıları, truva atı yerleştirilmiş uygulama için dört isim kullanıldığını gördü: Cointrazer, Cupatrade, Licatrade ve Trezarus.
ESET araştırmacısı Marc-Etienne M.Léveillé, “Kötü amaçlı yazılım, HTTP üzerinde bir komuta ve kontrol sunucusuna rapor veriyor ve uzak terminal oturumlarını sabit kodlanmış bir IP adresini kullanan başka bir komuta ve kontrol sunucusuna bağlıyor” bilgisini paylaştı.
Kaynak henüz belli değil
ESET araştırmacıları truva atı yerleştirilmiş bu uygulamaların kaynağını henüz tam olarak saptayamadı. Bununla birlikte, Mart 2020’de yasal “Kattana“ sitesinde, truva atı yerleştirilmiş uygulamayı indirmelerini sağlamak için kurbanlara bireysel olarak yaklaşıldığı, sosyal mühendislik uygulamalarının denendiği düşünülüyor.
Taklit web siteleri kuruluyor
Sahte uygulama indirme işleminin yasal görünmesi için taklit web siteleri kuruluyor. Sahte sitelerdeki indirme düğmesi, truva atı yerleştirilmiş uygulama paketinin yer aldığı ZIP arşiv dosyasına yönlendiren bir bağlantı içeriyor.
Kötü amaçlı kodun analiz edilmesine ek olarak ESET araştırmacıları sanal sunucular da kurdu ve kötü amaçlı GMERA yazılımı operatörlerini sanal sunucuları uzaktan kontrol etmeleri için kandırdı. Araştırmacıların amacı, bu siber suçlular grubunun hedefini ortaya çıkarmaktı. M.Léveillé, vardıkları sonucu şöyle özetliyor: “Tanık olduğumuz etkinliğe dayanarak, saldırganların çerezler ve tarayıcı geçmişi gibi tarayıcı bilgileri, kripto para cüzdanları ve ekran görüntülerini topladığını doğrulayabiliriz.”
Konuyla ilgili detaylı makaleye şu linkten ulaşabilirsiniz:
https://www.welivesecurity.com/2020/07/16/mac-cryptocurrency-trading-application-rebranded-bundled-malware/