To złośliwe oprogramowanie „ElectroRAT“ może po cichu wysysać twój Bitcoin.

Shaurya Malwa – 8 stycznia 2021 r. o godz. 1:16 UTC – 2 minuty do odczytu
To złośliwe oprogramowanie „ElectroRAT“ może po cichu wysysać twój Bitcoin.

Okup dotknął użytkowników ponad trzech aplikacji w ciągu ostatniego roku i opróżnił ich portfele z setek Bitcoinów.

Szczur chce Bitcoin’a
Nowy błąd zidentyfikowany przez badaczy, który The News Spy naśladuje program do handlu kryptonimami, podobno dotknął w zeszłym roku tysiące użytkowników, stwierdza raport o bezpieczeństwie publikacji Bleeping Computer.

Nazywany „ElectroRAT“, ponieważ infekuje aplikacje Electron, wirus jest trojanem zdalnego dostępu (RAT), który został odkryty w grudniu 2020 roku i jest skierowany do użytkowników systemów Windows, Linux i MacOS.

Po zainfekowaniu wirus zastępuje funkcje aplikacji i sprawia, że działają one jako aplikacje do handlu kryptograficznego (na Jamm i eTrade) lub jako aplikacje do gry w krypto pokera (DaoPoker). Kiedy niczego niepodejrzewający użytkownik uzyska dostęp do któregokolwiek z nich, pojawia się fałszywy interfejs, podczas gdy ElectroRAT działa w tle.

Jego działanie jest następujące: Złośliwe oprogramowanie infekuje komputer ofiary, angażuje się w keylogging, robi zrzuty ekranu, przesyła pliki z dysku (ofiary), pobiera inne krytyczne pliki i wykonuje polecenia na konsoli ofiary. Następnie jest w stanie uzyskać dostęp i przenieść każdy znaleziony zapisany kryptonim.

Aby jeszcze bardziej uwięzić ofiary, takie „trojanizowane“ aplikacje, jak raport, były promowane w różnych mediach społecznościowych, takich jak Twitter, oraz innych aplikacjach do wysyłania wiadomości lub forach popularnych wśród użytkowników kryptograficznych, takich jak bitcointalk i Telegram.

Ponad 6,500 przypadków

Intezer, firma ochroniarska, która po raz pierwszy dowiedziała się o wirusie, zauważyła w swoim oficjalnym raporcie, że trzy aplikacje zostały rzekomo pobrane przez ofiary między styczniem a grudniem 2020 roku. Ponadto, jedna ze stron Pastebin używanych przez ElectoRAT w celu uzyskania dostępu do serwera Commandand-Control (C2) – lub serwera, który pomaga oszustowi kontrolować botnet i wysyła złośliwe polecenia do jego członków – była dostępna ponad 6500 razy w tym okresie.

Firma powiedziała:

„Trojańska aplikacja i binarki ElectroRAT są albo słabo wykrywane, albo zupełnie niewykrywane w VirusTotal.“

Intezer dodał, że „jeszcze rzadziej“ widziano rodzaj „szeroko zakrojonej i ukierunkowanej kampanii“ prowadzonej przez hakerów ElectroRAT, która obejmowała wiele aspektów, takich jak tworzenie fałszywych aplikacji i stron internetowych oraz marketing tych, które zwabiły dodatkowe ofiary.

W międzyczasie Intezer doradza użytkownikom tych aplikacji – Jamm, eTrade lub DaoPoker – aby usunęli wszystkie powiązane pliki z ich systemów i użyli narzędzi administracyjnych do „zabicia“ swoich procesów. A użytkownicy, których krypto-waluty nie zostały jeszcze opróżnione są doradzane przez Intezer do natychmiastowego przeniesienia wszystkich swoich kryptocurrencies do innego portfela.