O novo ano começou com uma nova variedade de ransomware empresarial, e agora um malware de criptomoeda. Descoberto em dezembro, ElectroRAT é uma “operação abrangente voltada para usuários de criptomoedas” em todos os principais sistemas operacionais (janelas, Mac OS, e Linux).
A operação maliciosa é bastante elaborada em seu mecanismo, consistindo em uma campanha de marketing, aplicativos personalizados relacionados a criptomoedas, e uma ferramenta de acesso remoto totalmente nova (RATO).
A extensão da operação ElectroRAT
De acordo com pesquisadores do Intezer, a campanha consiste nos seguintes componentes:
- Registros de domínio;
- sites;
- Aplicativos Trojanized;
- Contas falsas de mídia social;
- RAT não detectado anteriormente.
“É bastante comum ver vários ladrões de informações tentando coletar chaves privadas para acessar as carteiras das vítimas. Contudo, é raro ver ferramentas escritas do zero e usadas para direcionar vários sistemas operacionais para esses fins," Os pesquisadores compartilhado em seu relatório.
Como a campanha ElectroRAT enganou suas vítimas?
Os invasores por trás da operação têm atraído usuários de criptomoedas para baixar aplicativos trojanizados. Para este efeito,, fóruns online e plataformas de mídia social foram usados. Os pesquisadores acreditam que milhares de usuários foram vítimas da abordagem, a julgar pelo número de visitantes únicos nas páginas do Pastebin localizando os servidores de comando e controle.
Os invasores criaram três aplicativos separados por cavalo de Troia relacionados à criptomoeda, cada um visando macOS, janelas, e usuários Linux. Além disso, os binários foram hospedados em sites explicitamente projetados para a operação. Duas das aplicações, Sim, e eTrade, estão relacionados ao gerenciamento de comércio de criptomoedas, e DaoPoker é um aplicativo de pôquer criptográfico.
Para aumentar a taxa de sucesso, os invasores os promoveram em criptografia- e específico do blockchain
fóruns como BitcoinTalk e SteemCoinPan. As postagens promocionais foram publicadas por usuários falsos, atraindo vítimas em potencial para navegar nas páginas da web dedicadas dos aplicativos:
image Source: Intezer.com
A interação bem-sucedida leva ao download de malware em vez do aplicativo de criptomoeda prometido.
além disso, os atacantes também criaram perfis no Twitter e no Telegram para o aplicativo DaoPoker e pagaram a um influenciador de mídia social com mais 25 mil seguidores para anunciar o aplicativo eTrade.
Em termos técnicos, os atores da ameaça desenvolveram os três aplicativos via Electron, uma plataforma para construção de aplicativos. ElectroRAT está incorporado em todos os três aplicativos. Uma vez que o usuário é induzido a executar o aplicativo, “Uma interface de usuário inocente” é aberta enquanto o malware é executado silenciosamente em segundo plano como “mdworker”.
Em conclusão
Ver um RAT multi-plataforma direcionado a usuários de criptomoedas é relativamente incomum. O malware é “extremamente intrusivo,”Capaz de keylogging, screenshots tomada, arquivos de upload e download, e executar comandos no console da vítima. Esses recursos estão presentes em todas as três variantes.
Já que a taxa de detecção de ElectroRAT no VirusTotal ainda é muito baixa, usuários de criptomoeda devem estar extremamente vigilantes ao visitar seus fóruns favoritos.
Um exemplo anterior de malware que visa carteiras de criptomoedas é o InnfiRAT. Descoberto em 2019, o malware incluía um módulo sofisticado de roubo de criptomoeda. Foi escrito usando o framework .NET, e tinha como alvo sistemas Windows em particular.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: