Un nuevo ataque troyano que usa un malware llamado GMERA se dirige a los traders de criptomonedas que usan aplicaciones de trading en macOS de Apple.

La compañía de seguridad de Internet ESET descubrió que el malware viene integrado en aplicaciones de trading de criptomonedas de aspecto legítimo e intenta robar los fondos de criptomonedas de las billeteras de los usuarios.

Investigadores de otra empresa de ciberseguridad, Trend Micro, descubrieron por primera vez el malware GMERA en septiembre del 2019, cuando se hacía pasar por una aplicación de inversión de acciones exclusiva para Mac, Stockfolio.

Copiando las aplicaciones

ESET encontró que los operadores del malware han incorporado GMERA a la aplicación original de trading de criptomonedas de macOS, Kattana. También han copiado el sitio web de la compañía y están promoviendo cuatro nuevas aplicaciones 'copycat': Cointrazer, Cupatrade, Licatrade y Trezarus, que tienen el malware incluido.

Los sitios web falsos tienen un botón de descarga que está vinculado a un archivo ZIP que contiene la versión que incluye al troyano en la aplicación. Según ESET, estas aplicaciones tienen el soporte completo para las funcionalidades de trading.

"Para una persona que no conoce Kattana, los sitios web parecen legítimos", escribieron los investigadores.

Los investigadores también dijeron que los responsables habían estado contactando directamente a sus víctimas y los habían estado engañando a través de "ingeniería social" para descargar la aplicación infectada.

El malware, en resumen

Para analizar el malware, los investigadores de ESET usaron muestras de Licatrade, el cual, dijeron, tiene pequeñas diferencias en comparación con el malware en otras aplicaciones, pero funciona de la misma manera.

El troyano instala un shell script en la computadora de la víctima que brinda a los operadores acceso al sistema de los usuarios a través de la aplicación. Entonces, el shell script permite a los atacantes crear servidores de comando y control, también llamados C&C o C2, a través de HTTP, entre el sistema de la víctima y el de ellos. Estos servidores C2 los ayudan sistemáticamente a comunicarse con la máquina comprometida.

Según los hallazgos, el malware GMERA roba información como: nombres de usuario, billeteras de criptomonedas, ubicación y capturas de pantalla del sistema de los usuarios.

Sin embargo, ESET dijo que han reportado el problema a Apple, y el certificado emitido por la compañía a Licatrade fue revocado el mismo día. Además, agregaron que los otros dos certificados utilizados para diferentes aplicaciones ya habían sido revocados para cuando iniciaron su análisis.

Sigue leyendo: