Le trading de cryptomonnaie ciblé par des malwares Mac

Les utilisateurs de Mac sont ciblés par des applications de trading de cryptomonnaie trojanisées, qui, une fois téléchargées, vident les portefeuilles de cryptomonnaie des victimes.

Les quatre applications en question, Cointrazer, Cupatrade, Licatrade et Trezarus, se font passer pour des copies d’une véritable application de trading de cryptomonnaie appelée Kattana. Les acteurs malveillants derrière la campagne ont utilisé des sites Web copiant le site Web légitime de Kattana pour convaincre les passionnés de cryptomonnaie de télécharger les fausses applications. Les faux sites Web incluent un bouton de téléchargement, avec un lien vers une archive ZIP contenant le paquet d’applications trojanisé.

«Pour une personne qui ne connaît pas Kattana, les sites Web semblent légitimes», a déclaré Marc-Etienne M. Léveillé, chercheur chez ESET, dans une analyse. «Non seulement les auteurs de logiciels malveillants ont utilisé [des copies de] l’application originale et légitime pour inclure des logiciels malveillants; ils ont également renommé l’application de trading Kattana avec de nouveaux noms et copié son site Web.»

Une fois téléchargées, les applications trojanisées en question déploient un logiciel malveillant appelé GMERA pour collecter les informations du navigateur des victimes (y compris leurs cookies et leur historique de navigation), accéder et vider leurs portefeuilles de cryptomonnaie et prendre des captures d’écran de leurs appareils.

GMERA a déjà été découvert par des chercheurs de Trend Micro, qui, en Septembre 2019, ont déclaré que le malware se propageait via des applications de cryptomonnaie trojanisé dans une campagne distincte, tirant parti des versions malveillantes de l’application de trading Stockfolio.

Applications malveillantes de ciblant la cryptomonnaie sur Mac

Cette campagne a évolué pour utiliser de nouvelles applications renommées, ont déclaré les chercheurs – cependant, «comme dans les campagnes précédentes, le logiciel malveillant communique avec un serveur [de commande et de contrôle] via HTTP et connecte les sessions de terminal distant à un autre serveur [C2] en utilisant une adresse IP codée en dur. »

Les quatre applications en question présentent des différences mineures, mais les fonctionnalités sont généralement les mêmes, ont déclaré les chercheurs. Dans une analyse approfondie de l’échantillon Licatrade, les chercheurs ont découvert que l’ensemble d’applications inclut un script shell (run.sh) qui, une fois téléchargé, lance et tente de configurer la persistance sur le système des victimes en installant un Launch Agent.

Mac cryptomonnaie

Cependant, «il est intéressant de noter que la persistance est cassée dans l’échantillon de Licatrade: le contenu du fichier Launch Agent (.com.apple.system.plist) n’est pas au format Property List comme le prévoit launchd, mais est plutôt une ligne de commande à exécuter », a déclaré Léveillé.

La dernière ligne du script shell met en place un shell inversé sur le serveur des opérateurs, qui permet ensuite aux attaquants d’envoyer les différentes commandes malveillantes au malware.

Licatrade a été signé à l’aide d’un certificat avec un champ de nom commun défini sur «Andrey Novoselov» et en utilisant l’ID de développeur M8WVDT659T. Le certificat a été émis par Apple le 6 avril 2020 et révoqué le jour même où les chercheurs ont notifié à Apple l’application malveillante.

Les chercheurs pensent que cette campagne a commencé le 15 avril 2020, car il s’agissait à la fois de la date de modification des fichiers de l’archive ZIP, de la date à laquelle l’application a été signée et la date de modification de l’en-tête HTTP lors du téléchargement de l’archive.

Kattana a également déjà mis en garde contre les applications malveillantes, publiant un avertissement sur Twitter suggérant que ses utilisateurs ont été «approchés» individuellement pour les inciter à télécharger une «copie malveillante» de son logiciel.

Catalina semble être épargné

Les chercheurs ont également noté qu’une fois téléchargé, le logiciel malveillant vérifie si le système utilise Catalina, la version la plus récente de macOS, avant de tenter de prendre une capture d’écran de l’appareil. Les chercheurs pensent que c’est parce que Catalina a ajouté une fonctionnalité où l’enregistrement de l’écran ou la capture d’écran doivent être approuvé par l’utilisateur pour chaque application.

licatrade mac

«Le fait qu’une capture d’écran ne doive pas être prise sur Catalina et qu’une fenêtre d’avertissement sera affiché sur le terminal de l’opérateur nous a fait nous demander pourquoi ils agissent différemment sur la version actuelle de macOS», a déclaré Léveillé. “Nous avons testé la capture d’écran du shell inversé sur Catalina et nous nous sommes retrouvés avec [un] avertissement dans notre sandbox, ce qui est plutôt suspect étant donné qu’une application de trading n’a rien à faire.”

Les piratages, les logiciels malveillants et les escroqueries qui tirent parti du commerce de la cryptomonnaie sont en plein essor, préviennent les chercheurs. Twitter a récemment verrouillé des milliers de comptes vérifiés appartenant à des utilisateurs de Twitter après que des pirates aient perpétré une arnaque massive de cryptomonnaie sur sa plate-forme. Les tweets envoyés à partir de ces comptes piratés promouvaient chacun une escroquerie de cryptomonnaie, promettant de doubler la valeur de la devise Bitcoin envoyée à un portefeuille spécifique.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x