Siber güvenlik kuruluşu ESET’ten araştırmacılar, Mac bilgisayarlar için truva atı yerleştirilmiş kripto para ticareti uygulamaları bulunan web siteleri olduğunu belirledi. Araştırmacılar, bunların siber hatalılar tarafından; tarayıcı çerezleri, kripto para cüzdanları ve ekran manzaralarını çalmak için kullanılan berbat maksatlı GMERA yazılımı yerleştirilmiş yasal uygulamalar olduğunu tespit etti.
Yasal ticaret sitesi tekrar oluşturulmuş
Bu taarruz gayretinde, taklit web sitelerinin kurulması da dahil olmak üzere, yasal “Kattana“ ticaret uygulaması tekrar markalanmış ve heyetim evrakının içine makus emelli yazılım yerleştirilmiş. ESET araştırmacıları, truva atı yerleştirilmiş uygulama için dört isim kullanıldığını gördü: Cointrazer, Cupatrade, Licatrade ve Trezarus.
ESET araştırmacısı Marc-Etienne M.Léveillé, “Kötü hedefli yazılım, HTTP üzerinde bir komuta ve denetim sunucusuna rapor veriyor ve uzak terminal oturumlarını sabit kodlanmış bir IP adresini kullanan öteki bir komuta ve denetim sunucusuna bağlıyor” bilgisini paylaştı.
Kaynak şimdi aşikâr değil
ESET araştırmacıları truva atı yerleştirilmiş bu uygulamaların kaynağını şimdi tam olarak saptayamadı. Bununla birlikte, Mart 2020’de yasal “Kattana“ sitesinde, truva atı yerleştirilmiş uygulamayı indirmelerini sağlamak için kurbanlara ferdî olarak yaklaşıldığı, toplumsal mühendislik uygulamalarının denendiği düşünülüyor.
Taklit web siteleri kuruluyor
Düzmece uygulama indirme sürecinin yasal görünmesi için taklit web siteleri kuruluyor. Geçersiz sitelerdeki indirme düğmesi, truva atı yerleştirilmiş uygulama paketinin yer aldığı ZIP arşiv evrakına yönlendiren bir temas içeriyor.
Makûs emelli kodun tahlil edilmesine ek olarak ESET araştırmacıları sanal sunucular da kurdu ve makûs emelli GMERA yazılımı operatörlerini sanal sunucuları uzaktan denetim etmeleri için kandırdı. Araştırmacıların emeli, bu siber hatalılar kümesinin maksadını ortaya çıkarmaktı. M.Léveillé, vardıkları sonucu şöyle özetliyor: “Tanık olduğumuz aktifliğe dayanarak, saldırganların çerezler ve tarayıcı geçmişi üzere tarayıcı bilgileri, kripto para cüzdanları ve ekran imajlarını topladığını doğrulayabiliriz.”
