Il nuovo anno è iniziato con un nuovo ceppo di ransomware aziendale, e ora un malware di criptovaluta. Scoperto a dicembre, ElectroRAT è una "operazione ad ampio raggio rivolta agli utenti di criptovaluta" su tutti i principali sistemi operativi (Windows, Mac OS, e Linux).
L'operazione dannosa è piuttosto elaborata nel suo meccanismo, costituito da una campagna di marketing, applicazioni personalizzate relative alle criptovalute, e uno strumento di accesso remoto completamente nuovo (RAT).
L'ampiezza dell'operazione ElectroRAT
Secondo i ricercatori di Intezer, la campagna è composta dai seguenti componenti:
- Registrazioni di domini;
- siti web;
- Applicazioni trojan;
- Account di social media falsi;
- RAT precedentemente non rilevato.
"È piuttosto comune vedere vari ladri di informazioni che cercano di raccogliere chiavi private per accedere ai portafogli delle vittime. Tuttavia, è raro vedere strumenti scritti da zero e utilizzati per indirizzare più sistemi operativi per questi scopi,”i ricercatori diviso nella loro relazione.
In che modo la campagna ElectroRAT ha ingannato le sue vittime?
Gli aggressori dietro l'operazione hanno attirato gli utenti di criptovaluta a scaricare app trojan. A questo scopo, sono stati utilizzati forum online e piattaforme di social media. I ricercatori ritengono che migliaia di utenti siano stati vittime dell'approccio, a giudicare dal numero di visitatori unici delle pagine Pastebin che individuano i server di comando e controllo.
Gli aggressori hanno creato tre distinte app trojan relative alla criptovaluta, ciascuno destinato a macOS, Windows, e utenti Linux. Inoltre, i binari erano ospitati su siti web progettati esplicitamente per l'operazione. Due delle applicazioni, Sì, e eTrade, sono legati alla gestione del commercio di criptovaluta, e DaoPoker è un'app di crypto poker.
Per aumentare la percentuale di successo, gli aggressori li hanno promossi su crypto- e specifico per blockchain
forum come BitcoinTalk e SteemCoinPan. I post promozionali sono stati pubblicati da utenti falsi, attirare le potenziali vittime a navigare nelle pagine web dedicate delle app:
Un'interazione riuscita porta al download di malware piuttosto che all'app di criptovaluta promessa.
Inoltre, gli aggressori hanno anche creato profili Twitter e Telegram per l'app DaoPoker e hanno pagato un influencer sui social media con oltre 25 migliaia di follower per pubblicizzare l'app eTrade.
In termini tecnici, gli attori della minaccia hanno sviluppato le tre applicazioni tramite Electron, una piattaforma per la creazione di applicazioni. ElectroRAT è integrato in tutte e tre le app. Una volta che l'utente viene indotto a eseguire l'app, "Una GUI innocente" si apre mentre il malware viene eseguito silenziosamente in background come "mdworker".
In conclusione
Vedere un RAT multipiattaforma di questo tipo indirizzato agli utenti di criptovaluta è relativamente raro. Il malware è “estremamente invadente,"Capace di keylogging, prendere screenshot, il download di file upload e, ed eseguire comandi sulla console della vittima. Queste capacità sono presenti in tutte e tre le varianti.
Poiché il tasso di rilevamento di ElectroRAT su VirusTotal è ancora molto basso, Gli utenti di criptovaluta dovrebbero essere estremamente vigili mentre visitano i loro forum preferiti.
Un precedente esempio di malware che prende di mira i portafogli di criptovaluta è il file InnfiRAT. Scoperto in 2019, il malware includeva un sofisticato modulo per il furto di criptovaluta. È stato scritto utilizzando il framework .NET, e mirava in particolare ai sistemi Windows.