インターネットセキュリティ企業ESETは「GMERA」と呼ばれるマルウェアが組み込まれた偽装ウェブサイトを発見したと公表した。今回のマルウェアは主にMacOSで使用されるアプリを標的にウォレットから仮想通貨(暗号資産)を盗もうとするものだという。

ウォレット情報以外にもブラウザのクッキーや画面をキャプチャされるとしている。

GMERAについては、2019年9月にはサイバーセキュリティ企業のトレンドマイクロ社がMac専用の株式投資アプリ「Stockfolio」を偽装していることを発見しており、今回もGMERAを使った新たなキャンペーンであるとしている。

ウェブサイトをそのままコピー

ESETは今回、GMERAがMacOS対応の仮想通貨取引アプリ「Kattana」に組み込まれていることを発見。さらにはこのKattanaをそのままコピーし、リブランディングした上でマルウェアを組み込んだウェブサイトが立ち上げられているという。

さらにリブランディングしたウェブサイトを使ってマルウェアを搭載したCointrazer、Cupatrade、Licatrade、Trezarusという4種類のアプリが宣伝されていたという。

偽装ウェブサイトにはダウンロードボタンが設置され、トロイの木馬を含む圧縮ファイルがリンクされている。ESETによると、上記のアプリは取引機能を完全にサポートしていることでマルウェアがわかりにくくなっているという。

「kattanaを知らない人にとっては、ウェブサイトは合法的に見える」と指摘している。

さらにはマルウェア開発側がアプリ利用者などに直接接触し、マルウェアが搭載されたアプリをダウンロードするように仕向けているという。

マルウェアの概要

このマルウェアを分析するためにESETは4種のアプリの一つLicatradeを調査。

トロイの木馬によって、被害者のコンピュータにシェルスクリプト(コンピュータに指示を与えるファイル)をインストールし、他者がアプリケーションを介してユーザーのシステムにアクセスできるようにしているという。シェルスクリプトによって攻撃側は被害者とのシステムの間に「コマンド・アンド・コントロール・サーバー(C&C)」を作成。このC&Cサーバーを使って被害者のコンピューターに通信が可能になる。

ESETはMacの開発元であるアップル社に問題をすでに報告している。

翻訳・編集 コインテレグラフジャパン