بحث لشركة «إسيت» يكتشف تطبيق “طروادة” للعملات المشفرة لأجهزة “ماك”

اكتشف مؤخرًا الباحثون في «إسيت» ESET مواقع إلكترونية توزع تطبيقات لهجمات “طروادة” لتداول العملات المشفرة تستهدف أجهزة الكمبيوتر ماك. كانت هذه تطبيقات شرعية تحتوى على برامج GMERA الضارة، والتي استخدمها مشغلوها لسرقة المعلومات، مثل ملفات تعريف الارتباط للمتصفح ومحافظ العملات المشفرة ولقطات الشاشة. في هذه الحملة الضارة، تم تغيير العلامة التجارية لتطبيق Kattana التجاري – بما في ذلك إنشاء مواقع إلكترونية مقلدة – وتم تجميع البرامج الضارة في برنامج التثبيت الخاص بها. أكتشف الباحثون في شركة «إسيت» أربعة أسماء مستخدمة لتطبيق هجمات “طروادة” في هذه الحملة: Cointrazer و Cupatrad وLicatrade وTrezarus.

صرح “مارك إيتن” الباحث في شركة «إسيت»، والذي قاد التحقيق في GMERA، وقال: “كما هو الحال في الحملات السابقة، تقدم البرامج الضارة تقارير إلى خادم التحكم و الأوامر Command & Control عبر HTTP وتربط جلسات المحطة الطرفية البعيدة بخادم آخر باستخدام عنوان IP مشفر”.

لم يتمكن الباحثون في «إسيت» حتى الآن من العثور بشكل محدد على المكان الذي يتم منه الترويج لهذه التطبيقات. نشر موقع Kattana الشرعي في مارس 2020، تحذيرًا إلى أنه يتم الاتصال بالضحايا بشكل فردي لإغرائهم لتنزيل تطبيق “طروادة” (Trojanized)، مما يشير إلى نوعية هجوم الهندسة الاجتماعية. تم إعداد مواقع إلكترونية مقلدة لجعل تنزيل التطبيق الزائف يبدو شرعيًا. زر التنزيل على مواقع وهمية هو رابط لأرشيف امتداد لملف (ZIP) يحتوي على حزمة التطبيق المعدة لهجمات طروادة.

بالإضافة إلى تحليل رمز البرمجيات الخبيثة، قام باحثو «إسيت» بإعداد مصائد للمخترقين (أجهزة كمبيوتر بحثية) وجذب مشغلي البرمجيات الخبيثة في GMERA للتحكم في المصائد عن بُعد. كان هدف الباحثين هو الكشف عن الدوافع وراء هذه المجموعة من المجرمين. و أضاف “مارك إيتن”: “بناءً على النشاط الذي شهدناه، يمكننا أن نؤكد أن المهاجمين كانوا يجمعون معلومات المتصفح، مثل ملفات تعريف الارتباط وسجل التصفح، ومحافظ العملات المشفرة ولقطات من شاشات أجهزة الضحايا”.