El laboratorio de ESET, la mayor empresa de ciberseguridad de la Unión Europea, ha descubierto una serie de páginas web que distribuían aplicaciones de trading de criptomonedas troyanizadas para ordenadores Mac. Se trata de aplicaciones legítimas que incluyen además el malware GMERA, cuyos operadores utilizan para robar información como las cookies del navegador y las carteras de criptomonedas y que, además, realiza capturas de pantalla. En esta campaña, la aplicación legítima Kattana se renombraba –también prepararon una falsificación de sus webs- y se incorporaba el malware al instalador. Los investigadores de ESET han llegado a encontrar cuatro nombres diferentes para la app troyanizada: Cointrazer, Cupatrade, Licatrade y Trezarus.
“De igual manera que en otras campañas previas, el malware informa a un servidor de mando y control a través de HTTP y conecta las sesiones remotas con otro servidor de mando y control utilizando direcciones IP incrustadas en el código”, afirma Marc-Etienne M.Léveillé, responsable de la investigación sobre GMERA en ESET.
Los investigadores de ESET aún no han podido encontrar dónde se promocionan estas aplicaciones troyanizadas de forma concreta, pero el pasado mes de marzo el sitio legítimo de Kattana ya advirtió de que sus usuarios estaban siendo contactados de manera individual para animarles a descargar la app troyanizada. Esto significaría que se estaban utilizando técnicas de ingeniería social para distribuir el malware. Las webs falsificadas han sido desarrolladas para que la aplicación falsa parezca legítima, mientras que el botón de descarga en los sitios fraudulentos es un enlace a un archivo ZIP que contiene la aplicación troyanizada.
Además del análisis del malware, los investigadores de ESET también configuraron ‘honeypots’ para engañar a los operadores de GMERA. El objetivo de los investigadores era encontrar las motivaciones que mueven al grupo de delincuentes. “Según lo que hemos observado, podemos confirmar que los atacantes han estado recogiendo información sobre el navegador usado por sus víctimas, como cookies o el historial, sobre las carteras de criptomonedas y realizando capturas de pantalla”, concluye M.Léveillé.
Para más información sobre la campaña de GMERA se puede leer el blog de ESET.