Macユーザーを標的としたマルウェアがトロイの木馬を通じて侵入か
コンピュータおよびインターネット用のセキュリティ関連製品の開発・販売を行うスロバキアのソフトウェア企業ESETが、Mac向けのマルウェアが組み込まれた暗号通貨取引アプリケーションを配布するWebサイトを発見した。
16日の発表によると、このマルウェアは、ブラウザのCookie、暗号通貨のウォレット、画面キャプチャなどの情報を盗むものだという。
以前発見されたマルウェアを使用した新たなキャンペーン
ESETがマルウェアのサンプルを分析したところ、昨年9月に大手インターネットセキュリティ企業トレンドマイクロ社が発見したGMERAと呼ばれるマルウェアであることが分かった。
GMERAは、以前のキャンペーンと同様にHTTP経由でC&Cサーバーにアクセスし、ハードコーディングされたIPアドレスを使用してリモートターミナルセッションを別のC&Cサーバーに接続するという。
しかし今回のキャンペーンでは、元となる「Kattana」というアプリケーションにマルウェアを仕込んだだけではなく、元のWebサイトをコピーしリブランディングした上で、マルウェアを仕込んだサイトが公開されている。
また、「Cointrazer」「Cupatrade」「Licatrade」「Trezarus」というアプリケーションが見つかっており、同様の手口でマルウェアを仕込んだサイトが確認されている。
Kattanaは、今年3月に被害者がトロイの木馬型アプリをダウンロードするよう個別にアプローチされていたと警告している。
We’ve come to know that some of our users were approached by the malicious copycat service of Kattana, located at: https://t.co/paSARVJPPZ
Please, be extra mindful about anyone who approaches you for any reason related to crypto-trading. They might be frauds.
— Kattana (@kattanatrade) March 12, 2020
偽のWebサイトは非常によくできており、Kattanaを知らない人には健全なサイトに見えるという。
ESETは、このハッカーグループが実施した多数のキャンペーンにより、オンライン取引を行うMacユーザーがどのような流れで被害に遭うか明確には明らかになっていないが、オペレーターが標的となるMacユーザーに直接連絡し、ソーシャルエンジニアリングを行って悪意のあるアプリケーションをインストールするという仮説が最も有力であると説明している。