연구원들이 Mac을 사용하는 암호화폐 거래자를 표적으로 삼는 트로이 목마인 'GMERA 악성 코드'를 발견했습니다.
이 악성코드는 의심하지 않는 사용자를 표적으로 삼기 위해 유사한 도메인 및 사용자 인터페이스를 사용하여 합법적인 웹사이트를 모방하는 웹사이트를 통해 대상을 감염시킵니다. 이 악성 코드는 GMERA 악성 코드가 "브라우저 쿠키, 암호화폐 지갑 및 화면 캡처"를 통해 데이터를 훔칠 수 있음을 밝힌 사이버 보안 회사 ESET의 연구원에 의해 발견되었습니다.
GMERA 악성코드
GMERA 운영자는 트로이 목마를 홍보하기 위해 합법적인 웹사이트를 복제합니다. 이러한 웹사이트는 매우 유사하며 훈련받지 않은 사람의 눈에는 합법적으로 보일 수 있습니다. 연구원들은 악성 코드가 어디에서 홍보되고 있는지 알지 못했지만 Kattana는 사용자가 트로이 목마 애플리케이션을 다운로드하도록 유도하는 악성 복제 서비스에 대해 사용자에게 경고
그러나 연구원들은 해당 캠페인을 GMERA 악성코드와 연결시킬 수 없었습니다.
연구원들은 또한 해당 악성코드가 "Cointrazer, Cupatrade, Licatrade, Trezarus"를 모방한 트로이 목마 애플리케이션을 통해 전송되고 있음을 밝혔습니다.
허니팟
트로이 목마 운영자에 침투하여 이들의 활동에 대해 자세히 알아보기 위해 허니팟을 설정했습니다 허니팟은 사이버 범죄자를 유인하기 위한 미끼 역할을 하는 네트워크 연결 시스템입니다. 허니팟을 통해 사용자는 공격자의 해킹 시도를 탐지, 편향 및 연구할 수 있습니다.
허니팟은 사기꾼을 trac 하도록 설계되었으며, 범죄자가 허니팟에 액세스하면 trac 및 모니터링됩니다.
ESET 연구원들은 GMERA 악성코드 배후의 오케스트레이터가 대상의 암호화폐 지갑에 있는 데이터 저장소, 기록 및 쿠키 데이터와 같은 브라우저 정보, 화면 캡처를 훔친다는 사실을 밝혔습니다.
공격자는 피해자에게 직접 연락해 악성 파일을 다운로드하도록 조작하는 방식으로 '사냥'한다.
