На комп’ютерах Mac були виявлені шкідливі додатки, які використовують для торгівлі криптовалютою. Це були легітимні програми зі шкідливим програмним забезпеченням GMERA, яке використовувалося для викрадення такої інформації, як файли cookie браузера, гаманці криптовалют та знімки екрана.
Під час кампанії зловмисники створили декілька версій легітимної програми Kattana з різними назвами та налаштували сайти-двійники, додаючи шкідливе ПЗ у їх інсталятор. Дослідники ESET зафіксували 4 назви троянського додатка, які використовувалися в цій кампанії: Cointrazer, Cupatrade, Licatrade та Trezarus.
“Як і в попередніх кампаніях, шкідлива програма зв’язується з командним сервером (C&C) за протоколом HTTP і відкриває термінальні сесії з іншим командним сервером, використовуючи жорстко закодовану IP-адресу”, — коментує Марк-Етьєн М. Левейле, дослідник компанії ESET.
Як зловмисники просували троянські додатки, поки невідомо. Хоча у березні 2020 року легітимний сайт Kattana опублікував попередження про зловмисників, які заманюють користувачів завантажити троянський додаток за допомогою індивідуальних звернень, що вказує на використання соціальної інженерії.
Також кіберзлочинці створюють сайти-двійники, щоб завантаження підробленої програми виглядало легітимно. Зазвичай, зловмисники розміщують на сайті кнопку з посиланням для завантаження ZIP-архіву, який містить набір троянських додатків.
Крім цього, щоб розкрити мотиви групи кіберзлочинців GMERA, фахівці ESET створили приманку на комп’ютерах, які використовувались для дослідження.
“На основі виявленої шкідливої активності ми можемо підтвердити, що зловмисники збирали інформацію про браузери, наприклад, файли cookie та історію відвідувань, а також гаманці криптовалют та знімки екрана”, — робить висновок Марк-Етьєн М. Левейле.
Кіберзлочинці доклали великих зусиль, щоб скомпрометувати користувачів Mac, які займаються онлайн-торгівлею. Хоча як саме користувачі стають жертвами, завантажуючи один з троянських додатків так і не стало відомо. Найбільш ймовірним варіантом залишається застосування методів соціальної інженерії для встановлення шкідливої програми.
Варто зазначити, що в останній версії macOS дії зловмисників були обмеженими. Дослідники не помітили спроби кіберзлочинців обійти обмеження нової версії ОС, пов’язані зі створенням знімків екрана. Тому щоб побачити екран комп’ютера жертви, який працює під управлінням Catalina, зловмисники мали аналізувати вже існуючі скріншоти користувача. Це гарний приклад, який свідчить про ефективність оновлення операційної системи для протидії зловмисникам.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
ЯК ДІЯТИ ВІЙСЬКОВОСЛУЖБОВЦЯМ У СОЦМЕРЕЖАХ? ПОРАДИ
ЯК ОЧИСТИТИ КЕШ ТА ФАЙЛИ COOKIES У БРАУЗЕРІ FIREFOX? – ІНСТРУКЦІЯ
ЯК ЗАПОБІГТИ ДЕФРАГМЕНТАЦІЇ ТВЕРДОТІЛОГО НАКОПИЧУВАЧА SSD? ІНСТРУКЦІЯ
НАВІЩО ПОТРІБЕН МЕНЕДЖЕР ПАРОЛІВ ТА ЯК ПРАВИЛЬНО ЙОГО ОБРАТИ?
ЯК ЗАБОРОНИТИ GOOGLE ЗБИРАТИ ВАШІ ДАНІ ТА НАЛАШТУВАТИ ЇХНЄ АВТОВИДАЛЕННЯ? ІНСТРУКЦІЯ
Нагадаємо, Apple оголосила на WWDC, що вироблятиме комп’ютери на власних чипах, відмовившись від процесорів Intel, якими компанія користується у своїх ноутбуках та настільних комп’ютерах з 2005 року.
Також Twitter із міркувань безпеки заблокувала всі облікові записи, власники яких намагалися змінити пароль в останні 30 днів. Таким чином соціальна мережа відреагувала на злам сторінок користувачів.
Окрім цього, фахівці з компанії CheckPoint повідомили про виявлені уразливості в Zoom. Уразливість дозволяє зловмисникам видавати себе за легітимні організації, обманюючи їх співробітників або ділових партнерів з метою розкрадання персональної або іншої конфіденційної інформації шляхом соціальної інженерії.
Зверніть увагу, експерти виявили нову шкідливу кампанію з використанням шпигунського програмного забезпечення на Близькому Сході. Інструмент зловмисників — додаток Welcome Chat для Android, який є шпигунським програмним забезпеченням та має функціонал чату.
До речі, у Firefox для Android виявлена проблема, через яку камера смартфона продовжує працювати навіть після того, як користувач перемикає браузер у фоновий режим або блокує екран телефону.