A ESET identificou sites que distribuem aplicativos mal-intencionados para comprar e vender moedas criptografadas destinadas a usuários de Mac. O malware usado destina-se a roubar informações, como cookies do navegador, carteiras de criptomoedas e capturas de tela.
Ao analisar as amostras do malware, a ESET descobriu que se tratava de uma nova campanha GMERA, vista pela primeira vez em setembro de 2019. Desta vez, os autores do malware não apenas envolveram a ameaça em um aplicativo original e legítimo, mas também modificaram o nome do aplicativo comercial Kattana e fizeram cópias de seu site original. Nesse sentido, foram identificadas as seguintes marcas fictícias, sendo utilizadas em diferentes campanhas: Cointrazer, Cupatrade, Licatrade e Trezarus. Além de analisar o código do malware, os pesquisadores da ESET também criaram honeypots para tentar revelar as motivações do grupo de cibercriminosos por trás desse código malicioso.
Na época, não foi identificado onde esses aplicativos são promovidos. No entanto, em março de 2020, a Kattana emitiu um aviso sugerindo que as vítimas foram abordadas individualmente com a intenção de induzi-las a baixar um aplicativo malicioso. Embora não tenha sido confirmado que esteja vinculado a essa campanha específica, pode ser o caso.
Os sites copiados são configurados para fazer com que o download do aplicativo falso pareça legítimo. Nesse caso, para um usuário que não conhece a Kattana, os sites têm uma aparência legítima.
Site malicioso sob o nome de Licatrade contendo um link para baixar o malware
O botão de download em sites falsos é um link para um arquivo ZIP que contém o pacote de aplicativos Trojanized. Quando o arquivo é baixado, as modificações nos registros de data e hora dos arquivos contidos no ZIP, bem como a data em que o aplicativo foi assinado e a última modificação (Last-Modified) do cabeçalho HTTP, indicam a data do 15 de abril de 2020. Ao que tudo indica, esta campanha começou nesta data.
Para cada uma das outras campanhas analisadas, foi utilizado um certificado diferente. Ambos já foram revogados pela Apple no momento em que a análise começou. No caso da Cointrazer, houve apenas uma diferença de 15 minutos entre o momento em que a Apple emitiu o certificado e os criminosos o usaram para assinar seu aplicativo Trojanized. Isso e o fato de que nada mais foi encontrado assinado com a mesma chave sugerem que eles obtiveram o certificado explicitamente para esse fim.
Para saber mais sobre as intenções desse grupo, todas as interações entre o shell reverso dos backdoors do GMERA e os operadores desse malware foram monitoradas. Quando conectado pela primeira vez, o servidor C&C enviou um script curto para coletar o nome de usuário, a versão do macOS e o local (com base no endereço IP externo) do dispositivo comprometido.
De acordo com a atividade testemunhada, a ESET conclui que alguns dos interesses dos operadores desse malware são:
• Informações do navegador (cookies, histórico)
• Carteiras de criptomoeda
• Capturas de tela
“As numerosas campanhas realizadas por esse grupo mostram quanto esforço foi feito no ano passado para envolver os usuários de Mac através do comércio online. Ainda não temos certeza de como alguém se torna uma vítima e consegue baixar um dos aplicativos Trojanized, mas a hipótese de que os operadores entram em contato diretamente com seus alvos e os persuadem através da engenharia social para finalmente instalar o aplicativo mal-intencionado parece ser o problema mais provável”, disse Camilo Gutierrez, chefe do Laboratório de Pesquisa da ESET na América Latina.
