I ricercatori hanno scoperto il "malware GMERA", un trojan che prende di mira i trader di criptovalute che utilizzano Mac.
Il malware infetta gli obiettivi attraverso siti Web che imitano siti Web legittimi con un dominio e un'interfaccia utente simili per prendere di mira utenti ignari. Il malware è stato rilevato dai ricercatori della società di sicurezza informatica ESET che hanno rivelato che il malware GMERA può rubare dati attraverso "cookie del browser, portafogli crittografici e acquisizioni di schermate".
malware GMERA
Gli operatori GMERA duplicano siti Web legittimi per promuovere il trojan. Questi siti Web sono estremamente simili e possono sembrare legittimi a un occhio inesperto. Sebbene i ricercatori non sapessero dove veniva promosso il malware, Kattana aveva avvertito gli utenti di un servizio di copia dannoso che attirava gli utenti a scaricare l'applicazione trojan.
Tuttavia, i ricercatori non sono riusciti a collegare la campagna al malware GMERA.
I ricercatori hanno anche rivelato che il malware veniva trasmesso tramite applicazioni trojan che imitavano “Cointrazer, Cupatrade, Licatrade e Trezarus”
Honeypot
I ricercatori hanno creato degli honeypot per infiltrarsi nell'operatore trojan e saperne di più sulle loro attività. Un honeypot è un sistema collegato alla rete che funge da esca per attirare i criminali informatici. L'honeypot consente agli utenti di rilevare, deviare e studiare i tentativi di hacking degli aggressori.
Gli honeypot sono progettati per trac i truffatori e, una volta che i criminali hanno avuto accesso all'honeypot, vengono trac e monitorati.
I ricercatori di ESET hanno rivelato che gli orchestratori dietro il malware GMERA rubano l'archivio dati nei portafogli crittografici degli obiettivi, informazioni sul browser come cronologia e dati sui cookie e acquisizioni di schermate.
Gli aggressori "cacciano" contattando direttamente la vittima e manipolandola per scaricare il file dannoso.