Раскрыта операция по распространению бэкдора под видом ПО для трейдинга.

[Artifact]

Злоумышленники скопировали легитимное ПО QT Bitcoin Trader и распространяют его вредоносную версию под названием JMT Trader.
Исследователь безопасности, известный как MalwareHunterTeam, https://twitter.com/malwrhunterteam/...24997577244673новую схему распространения ПО для трейдинга криптовалюты, устанавливающего бэкдор на компьютеры под управлением macOS и Windows.
По словам исследователя, злоумышленники создали фиктивную компанию, предлагающую бесплатную трейдинговую платформу под названием JMT Trader. Во время ее установки на компьютер также устанавливается троян.
Для того чтобы у жертв не возникало никаких сомнений в легитимности JMT Trader, мошенники создали качественно оформленный сайт и завели соответствующую страницу в Twitter (правда, последняя запись на ней датирована еще июнем нынешнего года).
При попытке установить JMT Trader жертва попадает в репозиторий GitHub, откуда можно скачать исполняемые файлы приложения для macOS и Windows, а также исходный код платформы для тех, кто хочет скомпилировать ее под Linux. Исходный код не является вредоносным.
С помощью JMT Trader пользователь может создавать различные профили на биржах и вполне легитимно использовать их для трейдинга криптовалюты. Дело в том, что само приложение и его страница на GitHub полностью скопированы с подлинной программы QT Bitcoin Trader, которую злоумышленники приспособили под свои цели.
В процессе инсталляции JMT Trader установщик также распаковывает вторичное ПО CrashReporter.exe и сохраняет его в папку %AppData%\JMTTrader. Данный компонент является вредоносным и детектируется только 5 из 69 решений безопасности на VirusTotal.
После установки создается запланированная задача JMTCrashReporter для запуска исполняемого файла CrashReporter.exe при каждой авторизации пользователя на компьютере. Когда вредоносный файл запустился, бэкдор подключается к C&C-серверу beastgoc[.]com и получает от него команды.
Загружает ли бэкдор дополнительное вредоносное ПО, или просто используется для похищения криптовалютных кошельков и учетных данных для авторизации на биржах, пока неизвестно. Тем не менее, проанализировав вредоносную кампанию, MalwareHunterTeam обнаружил большое сходство с другой вредоносной операцией под названием AppleJeus, за которой предположительно стояла киберпреступная группировка Lazarus.