Ερευνητές της Trend Micro ανακάλυψαν ότι κυκλοφορεί ένα νέο Mac Trojan, το οποίο στοχεύει στην κλοπή πληροφοριών των χρηστών. Το Trojan εξαπατά τους χρήστες καθώς εμφανίζεται ως μια νόμιμη εφαρμογή συναλλαγών.
Το λογισμικό Trojan.MacOS.GMERA παρουσιάζεται ως τη Mac-based εφαρμογή Stockfolio. Στην πραγματικότητα, περιέχει scripts, που επιτρέπουν κακόβουλες δραστηριότητες. Μέχρι τώρα, έχουν εντοπιστεί δύο εκδόσεις του κακόβουλου λογισμικού.
Η πρώτη έκδοση είναι ένα ZIP αρχείο, που περιέχει ένα app bundle (Stockfoli.app) και ένα κρυμμένο κρυπτογραφημένο αρχείο (.app).
Όταν γίνεται εκτέλεση του αρχείου, στην οθόνη εμφανίζεται η εφαρμογή συναλλαγών. Παράλληλα, όμως, η εφαρμογή εκτελεί shell scripts στον Resources directory.
Το πρώτο script κλέβει διάφορες πληροφορίες, όπως διευθύνσεις IP, εφαρμογές, ημερομηνία εγκατάστασης του λειτουργικού συστήματος, στοιχεία δίσκου, πληροφορίες γραφικών / οθόνης, πληροφορίες ασύρματου δικτύου και screenshots.
Αφού συλλεχθούν τα δεδομένα, κωδικοποιούνται και αποθηκεύονται σε ένα κρυφό αρχείο. Έπειτα αποστέλλονται στον server των hackers.
Το δεύτερο script αντιγράφει άλλα αρχεία, ενώ κάποια τα αποκωδικοποιεί ή και τα διαγράφει. Επιπλέον, εκτελεί και άλλες κακόβουλες δραστηριότητες.
Η δεύτερη έκδοση του κακόβουλου λογισμικού είναι πολύ πιο απλή. Χρησιμοποιεί ένα αντίγραφο της έκδοσης 1.4.13 του Stockfolio για να κρύψει την κακόβουλη δραστηριότητά του. Εκτελεί μόνο ένα script που κλέβει ονόματα χρηστών και διευθύνσεις IP και τα στέλνει στους hackers.
Επιπλέον, επιτρέπει στους hackers να εκτελέσουν εντολές στον μολυσμένο υπολογιστή, εγκαθιστώντας διάφορα αρχεία και δημιουργώντας ένα reverse shell (στις θύρες 25733-25736) στον command and control server.
Οι ερευνητές της Trend Micro παρατήρησαν ότι το κακόβουλο λογισμικό έχει αλλάξει πολύ τον τελευταίο καιρό. Η αρχική έκδοση διαφέρει αρκετά από την τωρινή. Οι διαχειριστές του κακόβουλου λογισμικού έχουν απλοποιήσει τη διαδικασία, ενώ ταυτόχρονα έχουν προσθέσει περισσότερες δυνατότητες. Οι hackers μπορούν να κάνουν πολύ μεγαλύτερη ζημιά στους υπολογιστές των θυμάτων και μάλιστα πιο εύκολα σε σχέση με πριν. Οι ερευνητές πιστεύουν ότι οι hackers πίσω από το Trojan προσπαθούν να κάνουν το κακόβουλο λογισμικό ακόμα πιο αποτελεσματικό και επικίνδυνο.
