Serangan Trojan Baru Targetkan Pengguna Mac untuk Curi Crypto

Wafa Hasnaghina

18th July, 2020

Serangan trojan baru menggunakan malware yang disebut GMERA menargetkan trader cryptocurrency yang menggunakan aplikasi trading pada MacOS Apple.

Perusahaan keamanan internet ESET menemukan bahwa malware tersebut terintegrasi ke dalam aplikasi perdagangan cryptocurrency yang tampak legal dan mencoba mencuri dana crypto pengguna dari dompet mereka.

Para peneliti di perusahaan cybersecurity lain, Trend Micro pertama kali menemukan malware GMERA pada September 2019 silam, pada saat menyamar sebagai aplikasi investasi saham khusus untuk Mac, Stockfolio.

Trojan Baru Ini Duplikasi Platform Utama

ESET menemukan operator malware tersebut telah mengintegrasikan GMERA ke aplikasi perdagangan macOS cryptocurrency asli Kattana. Mereka juga menyalin situs web perusahaan dan mempromosikan empat aplikasi peniru baru seperti Cointrazer, Cupatrade, Licatrade, dan Trezarus, yang dikemas dengan malware tersebut.

Situs web palsu tersebut memiliki tombol unduhan yang tertaut pada arsip ZIP yang berisi versi aplikasi trojan. Menurut ESET, aplikasi ini memiliki dukungan penuh untuk fungsi perdagangan.

“Untuk orang yang tidak mengenal Kattana, situs web (yang diduplikasi malware ini) memang terlihat legal,” tulis para peneliti.

Para peneliti juga mengatakan, malware ini terhubung secara langsung pada target mereka dan mampu merekayasa fungsi yang dimiliki untuk mengunduh aplikasi yang telah terinfeksi ini.

Baca juga: Malware Glupteba Gunakkan Jaringan Bitcoin Kirim Pesan Rahasia

Upaya Malware Curi Crypto

Untuk menganalisis malware tersebut, para peneliti dari ESET menguji sampel dari Licatrade, yang menunjukan perbedaan kecil dibandingkan dengan malware pada aplikasi lain tetapi masih berfungsi dengan cara yang sama.

Trojan menginstal script shell di komputer korban yang memberikan operator akses ke sistem pengguna melalui aplikasi. Script shell kemudian memungkinkan penyerang dalam membuat server command-and-control yang disebut juga C&C atau C2, melalui HTTP antara server mereka dan sistem korban. Server C2 ini membantu mereka secara konsisten berkomunikasi dengan mesin yang telah disusupi.

Menurut temuan ini, malware GMERA mencuri informasi seperti nama pengguna, dompet cryptocurrency, lokasi dan juga screeshot dari sistem pengguna.

ESET mengatakan mereka telah melaporkan masalah ini pada pihak Apple dan mengeluarkan sertifikasi tersebut kepada Licatrade pada hari yang sama. Mereka selanjutnya menambahkan dua sertifikasi lain yang digunakan dalam aplikasi yang berbeda sudah dicabut pada saat mereka memulai analisis mereka.

Informasi ini dapat dibaca kembali di sini