Des logiciels malveillants d’apparence légitime ciblent les commerçants de crypto Mac

Des chercheurs de la société de sécurité Internet ESET, ont découvert que des sites Web d’apparence légitime distribuaient des applications de trading de crypto-monnaie malveillantes aux utilisateurs de Mac. Surnommé GMERS, le logiciel malveillant pourrait “voler des informations à partir de cookies de navigateur, de portefeuilles cryptographiques et de captures d’écran”, selon un communiqué. Selon les chercheurs, les auteurs de logiciels malveillants ont utilisé le site Web d’origine du terminal de trading cryptographique Kattana pour renommer leurs propres applications d’espionnage. Les chercheurs ont également créé de faux pots de miel pour révéler les véritables intentions des criminels.

Nous avons vu les marques fictives suivantes utilisées dans différentes campagnes: Cointrazer, Cupatrade, Licatrade et Trezarus,

ont déclaré les analystes. Kattana avait lancé un avertissement en mars, déclarant que les auteurs avaient attiré les commerçants individuellement pour télécharger l’application du cheval de Troie. La plate-forme de trading a déclaré que les utilisateurs devraient être “très attentifs” à ces fraudeurs.  

We’ve come to know that some of our users were approached by the malicious copycat service of Kattana, located at: https://t.co/paSARVJPPZ

Please, be extra mindful about anyone who approaches you for any reason related to crypto-trading. They might be frauds.

— Kattana (@kattanatrade) March 12, 2020

Les chercheurs n’ont pas pu connecter cette campagne au logiciel malveillant GMERS actuel.

Nous n’avons pas encore pu trouver exactement où ces applications de Troie sont promues

ont-ils ajouté.

Les sites Web Copycat semblent légitimes

Les auteurs dupliquent des sites Web pour que le téléchargement de la fausse application semble légitime. Les chercheurs ont écrit: “pour une personne qui ne connaît pas Kattana, les sites Web semblent légitimes”. Le lien de téléchargement emmène ensuite les utilisateurs vers une archive ZIP contenant le faux ensemble d’applications. Kattana nécessite des informations d’identification d’utilisateur pour les transactions sur sa plate-forme. Les chercheurs ont également examiné ces derniers pour éviter les vols de connexion. Ils ont noté:

Nous voulions voir si, en plus du changement de nom et d’icône dans l’application, un autre code a été changé.

L’application Licatrade, par exemple, avait une application malveillante sur son site Web licatrade.com d’origine. Les auteurs de logiciels malveillants ont utilisé la même adresse e-mail pour enregistrer ce domaine et plusieurs autres, ont noté les analystes. Voici quelques-uns des domaines copycat enregistrés avec les mêmes adresses e-mail, révélant des campagnes malveillantes précédentes:

Source: welivesecurity.com

Un autre groupe d’analystes de Trend Micro a publié un rapport en septembre dernier, analysant au cas par cas les fausses applications de trading de crypto-monnaie basées sur Mac telles que Stockfolio.

Configuration de pots de miel cryptés

Afin de surveiller toutes les interactions entre les opérateurs de logiciels malveillants, les chercheurs ont mis en place de faux pots de miel, un mécanisme de sécurité informatique. Ces pots de miel peuvent détecter ou détourner une utilisation non autorisée des systèmes d’information en faisant croire aux cybercriminels qu’ils sont des cibles légitimes. Par exemple, les pots de miel peuvent imiter le système de facturation client d’une entreprise pour attirer les fraudeurs. Cela ressemble à un véritable système informatique pour les pirates. Une fois que les criminels ont accédé aux pots de miel, ils sont suivis et évalués. Les analystes ont déclaré que l’intérêt de l’agresseur réside principalement dans les portefeuilles de crypto-monnaie, les captures d’écran et les informations du navigateur contenant l’historique des utilisateurs et les cookies. Ils ont dit que les attaquants contactaient directement les victimes et les «concevaient socialement» pour télécharger l’application malveillante.