banner edicion impresa

Monitor Software


Nuevo malware afecta traders que usan Mac OS

Nuevo malware afecta traders que usan Mac OS
Dijeron que los atacantes contactaban directamente a las víctimas y las «ingeniaban socialmente» para descargar la aplicación maliciosa.

Publicación:18-07-2020
++--

Los investigadores descubrieron el jueves un nuevo troyano dirigido a los traders de criptomonedas que usan Mac.

Investigadores de la firma de seguridad de Internet ESET, descubrieron que sitios web de «aspecto legítimo» están distribuyendo aplicaciones de trading de criptomonedas maliciosas para usuarios de Mac. Apodado GMERS, el malware podría «robar información de las cookies del navegador, wallets de criptomonedas y capturas de pantalla», dijo un comunicado.

Según los investigadores, los autores de malware utilizaron el sitio web original del terminal de trading de criptomonedas Kattana para cambiar el nombre de sus propias aplicaciones de espionaje. Los investigadores también crearon trampas falsas para revelar las intenciones reales de los delincuentes. Los analistas informaron:

«Hemos visto las siguientes marcas ficticias utilizadas en diferentes campañas: Cointrazer, Cupatrade, Licatrade y Trezarus».

Kattana había levantado una advertencia en marzo, afirmando que los autores habían atraído individualmente a los traders para descargar la aplicación troyana. La plataforma de negociación dijo que los usuarios deberían ser «más conscientes» ante tales estafadores.

Los investigadores no pudieron conectar esta campaña al malware GMERS actual. Igualmente agregaron:

«Todavía no hemos podido encontrar exactamente dónde se promueven estas aplicaciones trojanizadas».

Los sitios web de Copycat parecen legítimos

Los estafadores están duplicando sitios web para que la falsa descarga de la aplicación parezca legítima. Los investigadores escribieron: «para una persona que no conoce Kattana, los sitios web parecen legítimos». El enlace de descarga lleva a los usuarios a un archivo ZIP que contiene el paquete de la aplicación falsa.

Kattana requiere credenciales de usuario para realizar trading en su plataforma. Los investigadores también los examinaron para evitar robos de inicio de sesión. Ellos notaron:

«Queríamos ver si, además del cambio de nombre e ícono en la aplicación, se cambiaba algún otro código».

La aplicación Licatrade, por ejemplo, tenía una aplicación maliciosa en su sitio web licatrade.com de aspecto original. Los autores de malware utilizaron la misma dirección de correo electrónico para registrar este y varios otros dominios, anotaron los analistas.

Estos son algunos de los dominios de imitación registrados con las mismas direcciones de correo electrónico, que revelan campañas maliciosas anteriores.

Otro grupo de analistas de Trend Micro publicó un informe en septiembre pasado, analizando aplicaciones falsas de trading de criptomonedas basadas en Mac, como Stockfolio, caso por caso.

Configurando Honeypots para atrapar a los estafadores

Para monitorear todas las interacciones entre operadores de malware, los investigadores establecieron honeypots falsos, un mecanismo de seguridad informática. Estos honeypots pueden detectar o desviar el uso no autorizado de los sistemas de información engañando a los cibercriminales para que piensen que son objetivos legítimos.

Por ejemplo, los honeypots pueden imitar el sistema de facturación de clientes de una empresa para atraer a los estafadores. Esto parece un sistema informático real para los hackers. Una vez que los delincuentes «acceden» a los honeypots, son rastreados y evaluados.

Los analistas dijeron que el interés del estafador radica principalmente en las wallets de criptomonedas, capturas de pantalla e información del navegador que contiene el historial del usuario y las cookies.

por Sujha Sundararajan



« Especial »