Falsa applicazione per il trading di valuta criptata colpisce gli utenti apple
I ricercatori di ESET ritengono che l'attacco sia parte o un rinnovo di una campagna malevola che è stata identificata da Trend Micro nel settembre 2019.
Oggi, uno dei motivi principali per cui i sentimenti contrastanti sono associati alle crittocurrenze può essere attribuito agli attori della minaccia che cercano di utilizzare la tecnologia per truffare utenti innocenti fin dall'inizio.
Un recente rapporto di ESET ha individuato l'ennesimo caso in cui è stato riscontrato un altro caso di distribuzione di malware sotto forma di applicazioni di scambio di valute criptate dannose per i dispositivi Mac. Il malware è stato progettato per rubare quanto segue:
Cronologia del browser e cookie
Portafogli di criptovaluta
Le immagini catturate dallo schermo dell'utente servono anche come spyware.
I dati raccolti vengono poi trasmessi via HTTP ad un server C2 insieme alla connessione di "sessioni di terminali remoti ad un altro server C&C utilizzando un indirizzo IP codificato".
Per quanto riguarda le origini e i dettagli dei campioni ottenuti, i ricercatori sottolineano che si tratta di una parte o di un rinnovamento di una campagna malevola che è stata identificata da Trend Micro già nel settembre 2019 con il nome di GMERA. Le differenze includono un rebranding dell'applicazione di trading maligno che è una copia della piattaforma autentica denominata "Kattana" e anche nuovi siti web.
Ad oggi, secondo i ricercatori di ESET, non ci sono indicazioni chiare su come gli aggressori stiano prendendo di mira gli utenti, ma il vero Kattana ha twittato il 12 marzo 2020, affermando che i loro utenti sono stati avvicinati direttamente suggerendo uno stratagemma di ingegneria sociale in gioco.
Siamo venuti a conoscenza del fatto che alcuni dei nostri utenti sono stati avvicinati dal servizio di copia malevola di Kattana, che si trova all'indirizzo: https://t.co/paSARVJPPZ
Per favore, siate particolarmente attenti a chiunque si avvicini a voi per qualsiasi motivo legato al crypto-trading. Potrebbero essere delle truffe.
- Kattana (@kattanatrade) 12 marzo 2020
Attualmente, sono state osservate quattro diverse versioni dei siti web o marchi maligni denominati Cointrazer, Cupatrade, Licatrade e Trezarus.
Il vero sito web Kattana.
Una volta che l'utente clicca sul pulsante di download, finisce per essere reindirizzato a scaricare un file zip che contiene tutto ciò che è inutile e dannoso, ma la vera applicazione di trading.
Un'altra cosa interessante è che i certificati digitali firmati sono stati utilizzati anche dagli aggressori per rafforzare la legittimità della loro campagna. Per fortuna questi sono stati rimossi da Apple fin da ora.
Per concludere, non conosciamo il numero di utenti attualmente interessati da questa situazione, ma per quelli di voi che utilizzano tali applicazioni, si raccomanda non solo di controllare le recensioni del sito web specifico online prima di scaricarlo, ma anche di cercare di ottenere un checksum per verificare il pacchetto scaricato. Questo vi aiuterà a tenervi al sicuro da tali siti web fasulli. Continueremo ad aggiornarvi su ogni ulteriore sviluppo di cui veniamo a conoscenza.
spero che questo articolo ti sia piaciuto, ci vedremo ad un prossimo articolo.
