Kryptowaluty

Złodziej kryptowalut dla Windows, macOS i Linux pozostał niewykryty przez rok

Na klawiaturze laptopa leży stos monet z logo Bitcoin.

Gwałtowne wyceny kryptowalut biły kolejne rekordy w ciągu ostatnich kilku lat, zmieniając ludzi z niegdyś skromnymi zasobami w milionerów z dnia na dzień. Pewien krąg zdeterminowanych przestępców próbował dołączyć do partii, korzystając z szeroko zakrojonej operacji, która przez ostatnie 12 miesięcy wykorzystywała pełnoprawną kampanię marketingową do rozpowszechniania niestandardowego złośliwego oprogramowania napisanego od podstaw dla urządzeń z systemem Windows, macOS i Linux.

Operacja, która była aktywna co najmniej od stycznia 2020 r., Nie szczędziła wysiłków, aby ukraść adresy portfeli nieświadomych posiadaczy kryptowalut – wynika z raportu opublikowanego przez firmę zabezpieczającą Intezer. Schemat obejmuje trzy oddzielne trojanizowane aplikacje, z których każda działa w systemach Windows, macOS i Linux. Opiera się również na sieci fałszywych firm, witryn internetowych i profili w mediach społecznościowych, aby zdobyć zaufanie potencjalnych ofiar.

Niezwykle niewidoczny

Aplikacje udają łagodne oprogramowanie, które jest przydatne dla posiadaczy kryptowalut. Wewnątrz ukryty jest trojan zdalnego dostępu, który został napisany od podstaw. Po zainstalowaniu aplikacji ElectroRAT – tak jak Intezer nazwał backdoora – pozwala oszustom stojącym za operacją na rejestrowanie naciśnięć klawiszy, robienie zrzutów ekranu, przesyłanie, pobieranie i instalowanie plików oraz wykonywanie poleceń na zainfekowanych maszynach. Jako dowód ich ukrycia, fałszywe aplikacje kryptowalutowe pozostały niewykryte przez wszystkie główne produkty antywirusowe.

„Rzadko zdarza się widzieć RAT napisany od zera i używany do kradzieży danych osobowych użytkowników kryptowalut” – napisali badacze w raporcie Intezera. „Jeszcze rzadziej spotyka się tak szeroko zakrojoną i ukierunkowaną kampanię, która obejmuje różne elementy, takie jak fałszywe aplikacje i strony internetowe oraz działania marketingowe / promocyjne za pośrednictwem odpowiednich forów i mediów społecznościowych”.

Trzy aplikacje, które były używane do infekowania celów, nazywały się „Jamm”, „eTrade” i „DaoPoker”. Oszuści używali fałszywych kampanii promocyjnych na forach związanych z kryptowalutami, takich jak bitcointalk i SteemCoinPan. Promocje, które były publikowane przez fałszywych użytkowników mediów społecznościowych, prowadziły do ​​jednej z trzech witryn internetowych, po jednej dla każdej dostępnej aplikacji poddanej trojanowi. ElectroRAT jest napisany w języku programowania Go.

Poniższy obraz podsumowuje operację i różne elementy, których użył do kierowania na użytkowników kryptowaluty:

Intezer

Śledzenie Execmac

ElectroRAT używa stron Pastebin opublikowanych przez użytkownika o nazwie „Execmac” do zlokalizowania swojego serwera poleceń i kontroli. Ze strony profilu użytkownika wynika, że ​​od stycznia 2020 r. Strony otrzymały ponad 6700 odsłon. Intezer uważa, że ​​liczba trafień w przybliżeniu odpowiada liczbie osób zakażonych.

Firma bezpieczeństwa powiedziała, że ​​Execmac w przeszłości miał powiązania z trojanami Windows Amadey i KPOT, które można kupić na podziemnych forach.

„Powód tego [change] może być celem kierowania na wiele systemów operacyjnych ”, spekulował post Intezera. „Innym czynnikiem motywującym jest to, że jest to nieznane złośliwe oprogramowanie Golang, które pozwoliło kampanii latać pod radarem przez rok, omijając wszystkie wykrycia antywirusa”.

Najlepszym sposobem sprawdzenia, czy zostałeś zainfekowany, jest poszukanie instalacji dowolnej z trzech wspomnianych wcześniej aplikacji. Post Intezer zawiera również linki, których użytkownicy Windows i Linux mogą użyć do wykrycia ElectroRAT działającego w pamięci. Osoby, które zostały zainfekowane, powinny wyleczyć swoje systemy, zmienić wszystkie hasła i przenieść środki do nowego portfela.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook