La nouvelle année a commencé avec une nouvelle souche de ransomware d'entreprise, et maintenant un malware de crypto-monnaie. Découvert en décembre, ElectroRAT est une «opération de grande envergure ciblant les utilisateurs de crypto-monnaie» sur tous les principaux systèmes d'exploitation (Fenêtres, macOS, et Linux).
L'opération malveillante est assez élaborée dans son mécanisme, consistant en une campagne marketing, applications personnalisées liées aux crypto-monnaies, et un tout nouvel outil d'accès à distance (RAT).
L'étendue de l'opération ElectroRAT
Selon les chercheurs d'Intezer, la campagne comprend les éléments suivants:
- Enregistrements de domaine;
- Sites Internet;
- Applications cheval de Troie;
- Faux comptes sur les réseaux sociaux;
- RAT non détecté auparavant.
«Il est assez courant de voir divers voleurs d’informations essayer de collecter des clés privées pour accéder aux portefeuilles des victimes. Cependant, il est rare de voir des outils écrits à partir de zéro et utilisés pour cibler plusieurs systèmes d'exploitation à ces fins," les chercheurs partagé dans leur rapport.
Comment la campagne ElectroRAT a-t-elle trompé ses victimes?
Les attaquants derrière l'opération ont incité les utilisateurs de crypto-monnaie à télécharger des applications trojanisées. A cet effet,, des forums en ligne et des plateformes de médias sociaux ont été utilisés. Les chercheurs estiment que des milliers d'utilisateurs ont été victimes de l'approche, à en juger par le nombre de visiteurs uniques sur les pages Pastebin localiser les serveurs de commande et de contrôle.
Les attaquants ont créé trois applications distinctes liées à la crypto-monnaie, chacun ciblant macOS, Fenêtres, et utilisateurs Linux. En outre, les binaires étaient hébergés sur des sites Web explicitement conçus pour l'opération. Deux des applications, Oui, et eTrade, sont liés à la gestion du commerce de crypto-monnaie, et DaoPoker est une application de crypto poker.
Pour augmenter le taux de réussite, les attaquants les ont promus sur crypto- et spécifique à la blockchain
forums tels que BitcoinTalk et SteemCoinPan. Les articles promotionnels ont été publiés par de faux utilisateurs, inciter les victimes potentielles à parcourir les pages Web dédiées aux applications:
Image Source: Intezer.com
Une interaction réussie conduit au téléchargement de logiciels malveillants plutôt que de l'application de crypto-monnaie promise.
En outre, les attaquants ont également créé des profils Twitter et Telegram pour l'application DaoPoker et ont payé un influenceur des médias sociaux avec plus de 25 mille abonnés pour faire la publicité de l'application eTrade.
En termes techniques, les acteurs de la menace ont développé les trois applications via Electron, une plateforme de création d'applications. ElectroRAT est intégré dans les trois applications. Une fois que l'utilisateur est amené à exécuter l'application, "Une interface utilisateur innocente" s'ouvre tandis que le malware s'exécute silencieusement en arrière-plan en tant que "mdworker".
En conclusion
Voir un tel RAT multi-plateforme ciblant les utilisateurs de crypto-monnaie est relativement rare. Le malware est «extrêmement intrusif,"Capable d'enregistrer des frappes, prendre des screenshots, le téléchargement et le téléchargement de fichiers, et exécuter des commandes sur la console de la victime. Ces capacités sont présentes dans les trois variantes.
Puisque le taux de détection d'ElectroRAT sur VirusTotal est encore très faible, Les utilisateurs de crypto-monnaie doivent être extrêmement vigilants lorsqu'ils visitent leurs forums préférés.
Un exemple précédent de malware ciblant les portefeuilles de crypto-monnaie est le InnfiRAT. Découvert en 2019, le malware comprenait un module sophistiqué de vol de crypto-monnaie. Il a été écrit en utilisant le framework .NET, et ciblait en particulier les systèmes Windows.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: