{"id":8518,"date":"2020-07-29T00:03:36","date_gmt":"2020-07-29T04:03:36","guid":{"rendered":"https:\/\/www.notaoficial.com\/s\/?p=8518"},"modified":"2020-07-29T00:03:36","modified_gmt":"2020-07-29T04:03:36","slug":"aplicacion-de-trading-de-criptomonedas-para-mac-es-utilizada-para-distribuir-malware","status":"publish","type":"post","link":"https:\/\/www.notaoficial.com\/s\/2020\/07\/29\/aplicacion-de-trading-de-criptomonedas-para-mac-es-utilizada-para-distribuir-malware\/","title":{"rendered":"Aplicaci\u00f3n de trading de criptomonedas para Mac es utilizada para distribuir malware"},"content":{"rendered":"

ESET<\/a>, compa\u00f1\u00eda l\u00edder en detecci\u00f3n proactiva de amenazas, identific\u00f3 sitios web que distribuyen aplicaciones maliciosas para la compra y venta de criptomonedas dirigidas a usuarios de Mac<\/a>. El malware utilizado tiene como objetivo robar informaci\u00f3n, como son cookies del navegador, billeteras de criptomonedas y realizar capturas de pantalla.<\/p>\n

Al analizar las muestras de malware, ESET descubri\u00f3 que se trataba de una nueva campa\u00f1a de GMERA, vista por primera vez en septiembre de 2019. Esta vez, los autores del malware no solo envolvieron la amenaza en una aplicaci\u00f3n original y leg\u00edtima, sino que tambi\u00e9n modificaron el nombre de la aplicaci\u00f3n de trading Kattana y realizaron copias de su sitio web original. En este sentido, se identificaron las siguientes marcas ficticias siendo utilizadas en diferentes campa\u00f1as:\u00a0Cointrazer, Cupatrade, Licatrade<\/i>\u00a0y\u00a0Trezarus<\/i>. Adem\u00e1s del an\u00e1lisis del c\u00f3digo de malware, los investigadores de ESET tambi\u00e9n establecieron honeypots para tratar de revelar las motivaciones del grupo de ciberdelincuentes detr\u00e1s de este c\u00f3digo malicioso.<\/p>\n

Al momento, no se identific\u00f3 d\u00f3nde se promueven estas aplicaciones troyanizadas. Sin embargo, en marzo de 2020, Kattana\u00a0public\u00f3 una advertencia<\/a>\u00a0que sugiere que las v\u00edctimas fueron abordadas de forma individual con la intenci\u00f3n de enga\u00f1arlas para que descarguen una App troyanizada. Si bien no est\u00e1 confirmado que est\u00e9 vinculado a esta campa\u00f1a en particular, podr\u00eda ser el caso.<\/p>\n

Los sitios web copiados est\u00e1n configurados para que la descarga de la falsa aplicaci\u00f3n parezca leg\u00edtima. En este sentido, para un usuario que no conoce Kattana, los sitios web tienen apariencia leg\u00edtima.<\/p>\n

El bot\u00f3n de descarga en los sitios falsos es un enlace a un archivo ZIP que contiene el paquete de aplicaciones troyanizadas. Cuando se descarga el archivo, tanto las modificaciones en las marcas de tiempo de los archivos que contiene el ZIP, as\u00ed como la fecha en la que se firm\u00f3 la aplicaci\u00f3n y la \u00faltima modificaci\u00f3n (Last-Modified) del encabezado HTTP, indican como fecha el 15 de abril de 2020. Por lo que todo parece indicar que esta campa\u00f1a se inici\u00f3 en esa fecha.<\/p>\n

Para cada una de las otras campa\u00f1as analizadas se utiliz\u00f3 un certificado diferente. Ambos ya fueron revocados por Apple al momento en que comenz\u00f3 el an\u00e1lisis. En el caso de Cointrazer, solo hubo una diferencia de 15 minutos entre el momento en que Apple emiti\u00f3 el certificado y que los actores maliciosos lo utilizaron para firmar su aplicaci\u00f3n troyanizada. Esto, y el hecho de que no se encontr\u00f3 nada m\u00e1s firmado con la misma clave, sugiere que obtuvieron el certificado expl\u00edcitamente para ese prop\u00f3sito.<\/p>\n

Para obtener m\u00e1s informaci\u00f3n sobre las intenciones de este grupo se monitorearon todas las interacciones entre las shell inversas de los backdoors de GMERA y los operadores de este malware. Cuando se conect\u00f3 por primera vez, el servidor de C&C envi\u00f3 un peque\u00f1o script para recopilar el nombre de usuario, la versi\u00f3n de macOS y la ubicaci\u00f3n (basada en la direcci\u00f3n IP externa) del dispositivo comprometido.<\/p>\n

En los casos analizados por ESET, despu\u00e9s de un tiempo, los operadores inspeccionaron manualmente la m\u00e1quina. En varios de los honeypots, los comandos utilizados para realizar esa inspecci\u00f3n variaron. Parte de esto era solo listar archivos en todo el sistema de archivos. Otras veces, copiaron y pegaron un script codificado en base64 dise\u00f1ado para enumerar informaci\u00f3n para revelar si se trata de un honeypot o de un blanco interesante. El script es decodificado y luego canalizado a bash.<\/p>\n

Si un sistema comprometido es considerado interesante, comienza la fase de exfiltraci\u00f3n. Los archivos interesantes se comprimen en un archivo ZIP y se cargan a trav\u00e9s de HTTP a otro servidor, tambi\u00e9n bajo el control de los atacantes.<\/p>\n

Seg\u00fan la actividad presenciada ESET concluye que algunos de los intereses de los operadores de este malware son:<\/p>\n