Varovanie: Malvér ElectroRAT naprieč platformami zacielený na používateľov kryptomeny

Výskumníci v oblasti kybernetickej bezpečnosti dnes odhalili rozsiahly podvod zameraný na používateľov kryptomien, ktorý sa začal už v januári minulého roka s distribúciou trojanizovaných aplikácií na inštaláciu predtým nezisteného nástroja vzdialeného prístupu na cieľové systémy.

Volaný ElectroRAT od Intezer, RAT je napísaný od základov v Golang a navrhnutý tak, aby sa zameral na viacero operačných systémov, ako napr Windows, Linux a macOS.

Aplikácie sú vyvinuté pomocou open-source platformy Electron pre desktopové aplikácie.

„ElectroRAT je najnovším príkladom útočníkov, ktorí používajú Golang na vývoj multiplatformového malvéru a vyhýba sa väčšine antivírusových nástrojov,“ uviedli vedci.

“Je bežné vidieť rôznych zlodejov informácií, ktorí sa snažia získať súkromné ​​kľúče, aby sa dostali do peňaženiek obetí. Je však zriedkavé vidieť nástroje napísané od začiatku a zamerané na viaceré operačné systémy na tieto účely.”

Predpokladá sa, že kampaň, ktorá bola prvýkrát zistená v decembri, bola prekonaná 6500 obetí na základe počtu jedinečných návštevníkov stránok Pastebin použitých na lokalizáciu serverov príkazového a riadiaceho systému (C2).

„Operácia ElectroRAT“ zahŕňala útočníkov, ktorí vytvorili tri rôzne poškodené aplikácie – každá s a Windows, Linux, verzia pre Mac – z ktorých dve vystupujú ako aplikácie na riadenie obchodu s kryptomenami s názvom „Jamm“ a „eTrade“, zatiaľ čo tretia aplikácia s názvom „DaoPoker“ sa vydáva za pokerovú platformu pre kryptomeny.

Nielenže sú škodlivé aplikácie hosťované na webových stránkach vytvorených špeciálne pre túto kampaň, ale služby sú tiež inzerované Twitter, Telegram a legitímne fóra súvisiace s kryptomenami a blockchainom, ako napríklad „bitcointalk“ a „SteemCoinPan“, v snahe nalákať nič netušiacich používateľov na stiahnutie pokazených aplikácií.

Po nainštalovaní aplikácia otvorí neškodne vyzerajúce používateľské rozhranie, keď v skutočnosti ElectroRAT beží skrytý na pozadí ako „mdworker“, ktorý prichádza s rušivými schopnosťami zachytávať stlačenia kláves, robiť snímky obrazovky, nahrávať súbory z disku, sťahovať ľubovoľné súbory a vykonávať škodlivé príkazy prijaté zo servera C2 na počítači obete.

Zaujímavá je analýza stránok Pastebin, ktoré publikoval používateľ s názvom „Execmac“ už v januári 8, 2020 — a tie, ktoré zverejnil ten istý používateľ pred kampaňou, našli servery C2 používané v spojení s Windows malvér ako Amadey a KPOT, čo naznačuje, že útočníci prešli z používania známych trójskych koní na nový RAT schopný zacieliť na viacero operačných systémov.

“Ďalším motivačným faktorom je neznámy malvér Golang, ktorý umožnil kampani preletieť pod radarom na rok tým, že sa vyhýbal všetkým antivírusovým detekciám,” uviedli vedci.

Používateľov, ktorí sa stali obeťou tejto kampane, vyzývame, aby proces ukončili, odstránili všetky súbory súvisiace s malvérom, presunuli prostriedky do novej peňaženky a zmenili svoje heslá.