ACER_09_SWIFT5 ACER_09_SWIFT5 ACER_09_SWIFT5 Advertisement

Vírusový radar / Kriminálnici sa snažili okrádať fanúšikov kryptomien a Macu. Prezradili sa screenshotmi

Bezpečnosť
0
Aj dnes ešte mnohí veria tomu, že na Macu neexistuje malvér. Ako však dokazujú zistenia výskumníkov ESETu, nie je to celkom tak. Práve fanúšikovia Applu a kryptomien sa totiž len nedávno dostali do hľadáčika kyberzločincov. Tí si vytvorili webové stránky a distribuovali cez ne škodlivé aplikácie na výmenu kryptomien.

Aby zakryli svoje úmysly, zneužívali legitímne aplikácie, ku ktorým pribalili škodlivý kód GMERA. Jeho operátori ho používajú na kradnutie informácií, ako sú cookies z internetových prehliadačov, informácie o kryptomenových peňaženkách a snímky obrazovky.

Zaujímavé je, že útočníci škodlivý kód nastavili tak, aby na najnovšej verzii operačného systému Mac OS Catalina nerobil posledné uvedené – teda screenshoty. Dôvodom je, že najnovšia verzia operačného systému pri akejkoľvek snímke obrazovky vyžaduje schválenie od používateľa.

Zločinci sa tak úpravou nastavení pravdepodobne snažili vyhnúť detekcii. Našťastie pre obete sa im táto úprava nepodarila a nesprávne nastavený škodlivý kód veselo pokračoval v „hlučnom“ cvakaní obrazovky.

Počas tejto vlny útokov kriminálnici zneužili legitímnu aplikáciu Kattana, do ktorej inštalátora pridali škodlivý kód. Pre účely infekcie vytvorili aj falošné kópie webovej stránky ­Kattana, ktorá im mala pomôcť aby sťahovanie falošných aplikácií pôsobilo dôveryhodne.

Odkaz na stiahnutie aplikácie obsahoval link na súbor ZIP, v ktorom sa ukrývala trojanizovaná aplikácia. Výskumníci ESETu našli štyri takéto falošné aplikácie, konkrétne Cointrazer, Cupatrade, Licatrade a Trezarus.

Experti však zatiaľ nezistili, kde presne sú tieto trojanizované aplikácie promované. Indíciou môže byť informácia z marca 2020, keď tvorcovia legitímnej Kattany vyhlásili, že útočníci svoje obete manipulujú na stiahnutie škodlivej verzie individuálne. V tejto chvíli však nevieme potvrdiť, či obe kampane – ESETom detegovaná teraz a tá zo začiatku roka – používali rovnaký mechanizmus šírenia škodlivého kódu GMERA.

Okrem analýzy škodlivého kódu výskumníci ESETu vytvorili aj sériu honeypotov. Išlo o výskumné počítače, ktoré navonok pôsobili ako dokonalé obete a snažili sa prilákať operátorov škodlivého kódu, aby na ne zaútočili a na diaľku ich ovládli.

Cieľom honeypotov je odhaliť skutočnú motiváciu skupiny kriminálnikov. Zachytená aktivita v tomto prípade potvrdila, že sa útočníci snažili zbierať informácie z internetových prehliadačov, ako sú už spomínané cookies, história, informácie o kryptomenových peňaženkách a snímky obrazovky.

Ide o názorný príklad toho, prečo je dôležité a užitočné pravidelne aktualizovať všetok softvér, a to aj operačný systém zariadenia. Funkcia, ktorá upozorní na podozrivé screenshoty, je totiž k dispozícii len používateľom, ktorí si nainštalovali najaktuálnejšiu verziu Mac OS Catalina.

 

 

Ondrej Kubovič, ESET

Všetky autorove články

Pridať komentár

Mohlo by vás zaujímať

Mohlo by vás zaujímať