ESET сообщила о трояне Gmera, который нацелен на кражу криптовалют пользователей macOS

Пользователи могли стать жертвами новой кампании, которая направлена на кражу криптовалют. Об этом сообщает Zdnet.

ESET сообщила о трояне Gmera, который нацелен на кражу криптовалют пользователей macOS

Специалисты из ESET обнаружили вредоносное в приложениях для торговли криптовалютами, которые разработаны для операционной системы .

Вредоносное ПО распространяется под видом приложений для торговли криптовалютами от компании Kattana. Ещё в марте марте разработчики сообщали о версиях приложений с вредоносным ПО, которые распространялись через фейковые сайты Kattana.

«Мы предполагаем, что сейчас злоумышленники напрямую связываются со своими целями и предлагают им установить версию с вредоносным ПО», ― говорится в отчете ESET.

Специалисты смогли отследить четыре версии приложений Kattana ― Cointrazer, Cupatrade, Licatrade и Trezarus ― которые включают в себя троян Gmera. Исследователи из Trend Micro сообщали о Gmera ещё в 2019 году. Ранее эта вредоносная программа была обнаружена в другом торговом приложении для macOS под названием Stockfolio.

На этапе разведки вредоносная программа получает данные о компьютере и доступных сетях Wi-Fi. Gmera также проверяет наличие виртуальных машин и делает скриншоты. Если установлена macOS Catalina, то пользователи должны каждый раз подтверждать скриншоты или запись экрана. Поэтому, если проверка будет продолжена, это может вызвать подозрения. Однако из-за ошибки в коде вредоносного ПО эта проверка проводилась независимо от версии операционной системы.

«Интересно отметить, что работа вредоносной программы ограничена в самой последней версии macOS», ― пишет ESET. «Мы не увидели, чтобы операторы пытались обойти ограничения, связанные со скриншотами. Мы считаем, что единственный способ увидеть экран компьютера на компьютерах-жертвах, работающих под управлением Catalina, ― это отфильтровать существующие скриншоты, сделанные жертвой».

Сертификат, использованный для подписи Licatrade, был выдан на имя Андрея Новоселова с использованием идентификатора разработчика M8WVDT659T. Сертификат был выдан Apple 6 апреля 2020 года и отозван 28 мая, когда ESET уведомила Apple об этом вредоносном приложении.