特洛伊化加密貨幣交易程序被發現，它以 Mac 用戶為目標

四款特洛伊化加密貨幣交易應用程序被發現傳播惡意軟件，它們竊取加密貨幣錢包并收集Mac用戶的瀏覽數據。

研究人員警告說，Mac用戶正成為特洛伊化加密貨幣交易應用的目標，這些應用的下載實際上會耗盡受害者的加密貨幣錢包。

這四款假冒應用程序分別是Cointrazer、Cupatrade、Licatrade和Trezarus，它們聲稱是真正的加密貨幣交易應用程序Kattana的翻版。該活動背后的操作者使用了復制Kattana合法網站的網站，以說服不知情的加密貨幣愛好者下載這些假應用。這些虛假網站包括一個下載按鈕，以及一個到包含木馬化應用程序包的ZIP歸檔文件的鏈接。

“對于不了解Kattana的人來說，這些網站看起來確實是合法的，”ESET的高級惡意軟件研究員 Marc-Etienne M. Léveillé在上周的一份分析報告中說。“惡意軟件的作者不僅打包了原始的、合法的應用程序的拷貝來包含惡意軟件;他們還將Kattana交易應用重新命名，并復制了原來的網站。”

一旦下載，特洛伊化應用程序就會部署名為GMERA的惡意軟件，收集受害者的瀏覽器信息(包括他們的cookie和瀏覽歷史)，訪問并取出他們的加密貨幣錢包，并對他們的設備進行截屏。

趨勢科技(Trend Micro)的研究人員在2019年9月發現了GMERA，他們表示，該惡意軟件在另一場運動中通過特洛伊化加密貨幣應用程序傳播，利用了交易應用Stockfolio的惡意版本。

惡意程序

研究人員說，最近的攻擊已經演變為使用新的、重新命名的應用程序，然而，“在以前的攻擊中，惡意軟件通過HTTP報告到一個[命令和控制]服務器，并使用硬編碼的IP地址將遠程終端會話連接到另一個[C2]服務器。”

研究人員說，這四款應用有細微的差別，但功能基本上是一樣的。在深入研究Licatrade示例時，研究人員發現應用程序包包含一個shell腳本(run.sh)，該腳本一旦下載就會啟動，并試圖通過安裝啟動代理在受害者的系統上設置持久性。

然而，“有趣的是，Licatrade示例中持久性被破壞了:生成的啟動代理文件(.com apple.system.plist)的內容不是launchd所期望的屬性列表格式，而是要執行的命令行，”Leveille說。

shell腳本的最后一行設置了一個到操作員服務器的反向shell，然后允許攻擊者向惡意軟件發送各種惡意命令。

使用公共名稱字段設置為“Andrey Novoselov”的證書和使用開發人員ID M8WVDT659T簽署了Licatrade。該證書由蘋果公司于2020年4月6日頒發，并在研究人員通知蘋果公司該惡意應用程序的同一天被撤銷。

研究人員認為，這場運動始于2020年4月15日，因為這是ZIP歸檔文件修改時間戳、申請簽名日期以及下載歸檔文件最后修改的HTTP頭的日期。

總部位于瑞士的Kattana此前也曾對重新命名的惡意應用程序發出警告，并在Twitter上發布警告稱，有人“接觸”其用戶，誘使他們下載其軟件的“惡意模仿服務”。

當被問及對此的評論時，Kattana的一位發言人說，“我們已經通過官方溝通渠道通知了我們的用戶這一惡意行為。”

Catalina macOS Avoided

研究人員還指出，一旦下載完畢，該惡意軟件就會先檢查系統是否運行了最新版本的macOS Catalina，然后再試圖截圖該設備。研究人員認為，這是因為Catalina增加了一項功能，即每個應用程序的屏幕記錄或截圖都必須經過用戶的批準——這對Mac用戶來說是一個危險信號。

“事實上，不應該在Catalina身上截屏，而且運營商的終端上會顯示明顯的警告標志，這讓我們想知道，為什么他們在當前macOS版本上采取了不同的行動。”Leveille說，“我們測試了從反向shell在Catalina上的截圖，結果在我們的沙箱中出現了一個警告，這是相當可疑的，考慮到交易應用程序不應該這樣做。

研究人員警告稱，利用加密貨幣交易的黑客、惡意軟件和騙局正在激增。事實上，上周，在黑客在Twitter平臺上實施了大規模加密貨幣騙局之后，Twitter鎖定了數千名知名Twitter用戶的認證賬戶。這些被劫持的賬戶發出的推文都宣傳了一種預付費用的加密貨幣騙局，承諾將發送到某個特定錢包的比特幣的價值提高一倍。