ESET сообщила о трояне Gmera, который нацелен на кражу криптовалют пользователей macOS

Пользователи macOS могли стать жертвами новой кампании, которая направлена на кражу криптовалют. Об этом сообщает Zdnet.

Специалисты из ESET обнаружили вредоносное ПО в приложениях для торговли криптовалютами, которые разработаны для операционной системы Apple.

Вредоносное ПО распространяется под видом приложений для торговли криптовалютами от компании Kattana. Ещё в марте марте разработчики сообщали о версиях приложений с вредоносным ПО, которые распространялись через фейковые сайты Kattana. «Мы предполагаем, что сейчас злоумышленники напрямую связываются со своими целями и предлагают им установить версию с вредоносным ПО», ― говорится в отчете ESET.

Специалисты смогли отследить четыре версии приложений Kattana ― Cointrazer, Cupatrade, Licatrade и Trezarus ― которые включают в себя троян Gmera. Исследователи из Trend Micro сообщали о Gmera ещё в 2019 году. Ранее эта вредоносная программа была обнаружена в другом торговом приложении для macOS под названием Stockfolio.

На этапе разведки вредоносная программа получает данные о компьютере и доступных сетях Wi-Fi. Gmera также проверяет наличие виртуальных машин и делает скриншоты. Если установлена macOS Catalina, то пользователи должны каждый раз подтверждать скриншоты или запись экрана. Поэтому, если проверка будет продолжена, это может вызвать подозрения. Однако из-за ошибки в коде вредоносного ПО эта проверка проводилась независимо от версии операционной системы.

«Интересно отметить, что работа вредоносной программы ограничена в самой последней версии macOS», ― пишет ESET. «Мы не увидели, чтобы операторы пытались обойти ограничения, связанные со скриншотами. Мы считаем, что единственный способ увидеть экран компьютера на компьютерах-жертвах, работающих под управлением Catalina, ― это отфильтровать существующие скриншоты, сделанные жертвой».

Сертификат, использованный для подписи Licatrade, был выдан на имя Андрея Новоселова с использованием идентификатора разработчика M8WVDT659T. Сертификат был выдан Apple 6 апреля 2020 года и отозван 28 мая, когда ESET уведомила Apple об этом вредоносном приложении.