Раскрыта операция по распространению бэкдора под видом ПО для трейдинга

Раскрыта операция по распространению бэкдора под видом ПО для трейдинга

Злоумышленники скопировали легитимное ПО QT Bitcoin Trader и распространяют его вредоносную версию под названием JMT Trader.

Исследователь безопасности, известный как MalwareHunterTeam, обнаружил новую схему распространения ПО для трейдинга криптовалюты, устанавливающего бэкдор на компьютеры под управлением macOS и Windows.

По словам исследователя, злоумышленники создали фиктивную компанию, предлагающую бесплатную трейдинговую платформу под названием JMT Trader. Во время ее установки на компьютер также устанавливается троян.

Для того чтобы у жертв не возникало никаких сомнений в легитимности JMT Trader, мошенники создали качественно оформленный сайт и завели соответствующую страницу в Twitter (правда, последняя запись на ней датирована еще июнем нынешнего года).

При попытке установить JMT Trader жертва попадает в репозиторий GitHub, откуда можно скачать исполняемые файлы приложения для macOS и Windows, а также исходный код платформы для тех, кто хочет скомпилировать ее под Linux. Исходный код не является вредоносным.

С помощью JMT Trader пользователь может создавать различные профили на биржах и вполне легитимно использовать их для трейдинга криптовалюты. Дело в том, что само приложение и его страница на GitHub полностью скопированы с подлинной программы QT Bitcoin Trader, которую злоумышленники приспособили под свои цели.

В процессе инсталляции JMT Trader установщик также распаковывает вторичное ПО CrashReporter.exe и сохраняет его в папку %AppData%\JMTTrader. Данный компонент является вредоносным и детектируется только 5 из 69 решений безопасности на VirusTotal.

После установки создается запланированная задача JMTCrashReporter для запуска исполняемого файла CrashReporter.exe при каждой авторизации пользователя на компьютере. Когда вредоносный файл запустился, бэкдор подключается к C&C-серверу beastgoc[.]com и получает от него команды.

Загружает ли бэкдор дополнительное вредоносное ПО, или просто используется для похищения криптовалютных кошельков и учетных данных для авторизации на биржах, пока неизвестно. Тем не менее, проанализировав вредоносную кампанию, MalwareHunterTeam обнаружил большое сходство с другой вредоносной операцией под названием AppleJeus, за которой предположительно стояла киберпреступная группировка Lazarus.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!