Atacantes crean un elaborado esquema de criptocomercio para instalar malware

Los atacantes han creado un esquema elaborado para distribuir un programa de comercio de criptomonedas que instala una puerta trasera en la PC de Mac o Windows de la víctima.

El investigador de seguridad MalwareHunterTeam  descubrió un esquema en el que un atacante creó una compañía falsa que ofrece una plataforma de comercio de criptomonedas gratuita llamada JMT Trader. Cuando se instala este programa, también infectará a una víctima con un troyano de puerta trasera.



La creación de un esquema de malware de comercio de cifrado

Este esquema comienza con un sitio web diseñado profesionalmente donde los atacantes promueven el programa JMT Trader como se muestra a continuación:


Sitio web de JMT Trader

Para ayudar a promover el sitio y el programa, también crearon una cuenta de Twitter que se utiliza para promocionar la empresa ficticia. Esta cuenta está bastante inactiva con su último tweet de junio.


Cuenta de Twitter

Si intenta descargar el software, será llevado a un repositorio de GitHub donde podrá encontrar ejecutables de Windows y Mac para la aplicación JMT Trader. Esta página también contiene el código fuente de los programas comerciales para aquellos que desean compilarlo en Linux. Este código fuente no parece ser malicioso.


JMT Trader GitHub Repository

Usando el programa JMT Trade, un usuario puede crear varios perfiles de intercambio y usarlo legítimamente para intercambiar criptomonedas. Esto se debe a que esta aplicación y la página de GitHub anterior son solo clones del programa legítimo QT Bitcoin Trader que se han adoptado para esta operación de malware.


Aplicación JMT Trader

Sin embargo, cuando se instala JMT Trader, el instalador también extraerá un programa secundario llamado CrashReporter.exe y lo guardará en la carpeta % AppData% \ JMTTrader . Este programa es el componente de malware y actúa como una puerta trasera. Este malware actualmente solo tiene  5/69 detecciones en VirusTotal.


Puerta trasera CrashReporter.exe

Se creará una tarea programada llamada JMTCrashReporter que inicia CrashReporter.exe cada vez que un usuario inicia sesión en la computadora.


Tarea programada para CrashReporter

Según el ingeniero e investigador inverso Vitali Kremez , cuando se inicia el ejecutable CrashReporter.exe, se conectará de nuevo a un servidor de Comando y Control en beastgoc [.] Com para recibir comandos. Estos comandos serán ejecutados por la puerta trasera.


Conexión al servidor C2

No se sabe si el malware deja caer otras cargas útiles o simplemente se usa como una puerta trasera para robar billeteras de criptomonedas o intercambiar inicios de sesión.

De todos modos, si algún usuario instaló esta aplicación, debe asegurarse de revisar su computadora a fondo en busca de malware y eliminar % AppData% \ JMTTrader \ CrashReporter.exe  si está presente.

Las víctimas deben cambiar las contraseñas en cualquier intercambio que tengan cuentas.

Posibles lazos con el grupo APT Lazarus
Al analizar el esquema, MalwareHunterTeam señaló que tenía un gran parecido con una operación anterior de malware de aplicación de comercio de cifrado llamada AppleJeus.

En 2018, durante un trabajo de respuesta a incidentes, Kaspersky descubrió que un intercambio de criptomonedas estaba en peligro cuando un empleado descargaba una aplicación de comercio de criptomonedas troyano.

"Kaspersky Lab ha estado ayudando con los esfuerzos de respuesta a incidentes. Mientras investigaba un intercambio de criptomonedas atacado por Lazarus, hicimos un descubrimiento inesperado. La víctima había sido infectada con la ayuda de una aplicación de comercio de criptomonedas troyanizada, que había sido recomendada a la compañía por correo electrónico Resultó que un empleado desprevenido de la compañía había descargado voluntariamente una aplicación de terceros de un sitio web de aspecto legítimo y su computadora había sido infectada con un malware conocido como Fallchill, una herramienta antigua a la que Lazarus ha cambiado recientemente. múltiples informes sobre la reaparición de Fallchill, incluido uno de US-CERT ".

Después de más investigaciones, este ataque fue atribuido al grupo APT llamado Lázaro con vínculos con Corea del Norte.

Si bien algunos detalles han cambiado, los métodos entre el esquema JMT Trader se ven muy similares a los de AppleJeus visto por Kaspersky. Ambos utilizan aplicaciones de criptografía legítimas que se promocionan desde sitios profesionales y ambos tienen un programa secundario que es el componente de malware.

Si bien no está 100% confirmado que JMT Trader es una operación de Lazarus, el investigador principal de seguridad Kaspersky GReAT, Seongsu Park, siente que pueden estar relacionados.


Esto le muestra que debe tener cuidado al descargar programas de Internet, ya que nunca sabe lo que obtendrá.


Vía: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta