Эта неуловимая вредоносная программа уже год атакует Криптo

Действующая уже год коварная вредоносная программа ElectroRAT переносит 2020 год в 2021 год и нацеливается на Криптo .

Исследователь из компании Intezer, занимающейся кибербезопасностью,идентифицированы и задокументированывнутренние механизмы ElectroRAT, которые нацелены на выкачивание средств у жертв.

По словам исследователя Авигайла Мехтингера, вредоносная операция включает в себя множество подробных инструментов, которые обманывают жертв, в том числе «маркетинговую кампанию, пользовательские приложения, связанные с криптовалютой, и новый инструмент удаленного доступа (RAT), написанный с нуля».

Вредоносная программа называется ElectroRAT, потому что это инструмент удаленного доступа, встроенный в приложения, созданные на основеЭлектрон, платформа для создания приложений. Отсюда и ElectroRAT.

«Неудивительно, что публикуется новое вредоносное ПО, особенно во время бычьего рынка, когда стоимость Криптовалюта стремительно растет и делает такие атаки более прибыльными», — сказал Джеймсон Лопп, главный Технологии директор (CTO) стартапа по хранению Криптo . Каса.

За последние несколько месяцев,Bitcoinи другие криптовалюты вошли в фазу бычьего рынка, вызвав резкий рост цен по всей отрасли.

Смотрите также:Впервые пользуетесь Bitcoin? Берегите себя и избегайте этих распространенных мошенничеств

Что такое ЭлектроРАТ?

Вредоносное ПО ElectroRat написано на языке программирования с открытым исходным кодом Golang, который хорошо подходит для кроссплатформенной функциональности и ориентирован на несколько операционных систем, включая macOS, Linux и Windows.

В отчете говорится, что в рамках вредоносной операции злоумышленники создавали «регистрации доменов, веб-сайты, троянизированные приложения и поддельные учетные записи в социальных сетях».

В отчете Мехтингер отмечает, что, хотя злоумышленники обычно пытаются собрать закрытые ключи, используемые для доступа к кошелькам людей, оригинальные инструменты, такие как ElectroRAT и различные приложения, написанные «с нуля» и нацеленные на несколько операционных систем, встречаются довольно RARE.

«Написание вредоносного ПО с нуля также позволило кампании оставаться незамеченной в течение почти года, избегая обнаружения всеми антивирусами», — написал Мехтингер в отчете.

Лопп поддержал эти комментарии и сказал, что особенно интересно, что вредоносное ПО компилируется для всех трех основных операционных систем и нацелено на них.

«Большинство вредоносных программ, как правило, предназначены только для Windows из-за широкой базы установок и более слабой безопасности операционной системы», — сказал Лопп. «В случае с Bitcoin авторы вредоносных программ могут рассуждать о том, что многие ранние последователи — это более технически подкованные люди, которые используют Linux».

Как это работает

Чтобы заманить жертв, злоумышленники ElectroRat создали три разных домена и приложения, работающие на нескольких операционных системах.

Страницы для загрузки приложений были созданы специально для этой операции и выглядят как настоящие сайты.

Соответствующие приложения специально ориентированы на пользователей Криптовалюта . «Jamm» и «eTrade» — приложения для управления торговлей; «DaoPoker» — приложение для покера, использующее Криптовалюта.

Используя поддельные социальные сети и профили пользователей, а также заплатив влиятельному лицу в социальных сетях за рекламу, злоумышленник накачал приложения, в том числе продвигая их на целевых форумах, посвященных Криптовалюта и блокчейну, таких как bitcointalk и SteemCoinPan. Посты призывали читателей просматривать профессионально выглядящие веб-сайты и загружать приложения, хотя на самом деле они также загружали вредоносное ПО.

Например, страница DaoPoker в Twitter имела 417 подписчиков, в то время как рекламодатель в социальных сетях с более чем 25 000 подписчиков в Twitter продвигал eTrade. На момент написания статьиСтраница DaoPoker в Twitterвсе еще жив.

Хотя на первый взгляд приложения выглядят легитимными на фронтенде, они выполняют гнусную фоновую деятельность, нацеленную на Криптовалюта кошельки пользователей. Они также все еще активны.

Смотрите также:«Убедительная» фишинговая атака нацелена на пользователей аппаратного кошелька Ledger

«Хакеры хотят заполучить вашу Криптовалюта, и они готовы пойти ради этого далеко — потратить месяцы на создание поддельных компаний, поддельной репутации и невинно выглядящих приложений, скрывающих вредоносное ПО для кражи ваших монет», — сказал Мехтингер.

Что он делает

«ElectroRAT обладает различными возможностями», — сказал Мехтингер в электронном письме. «Он может делать снимки экрана, вести журналы клавиш, загружать папки/файлы с машины жертвы и многое другое. После выполнения он устанавливает команды со своим командно-контрольным сервером и ждет команд».

В отчете говорится, что вредоносное ПО специально нацелено на пользователей Криптовалюта с целью атаки на их Криптo , отмечая, что жертвы были замечены комментирующими посты, связанные с популярным приложением кошелька Ethereum Metamask. На основании наблюдений исследователей за поведением вредоносного ПО, возможно, что были скомпрометированы более 6,5 тысяч человек.

Как этого избежать

Первый шаг – самый лучший, и это не загрузка ни одного из этих приложений, и точка.

В целом, когда вы ищете новые приложения, Лопп советует избегать сомнительных веб-сайтов и форумов. Устанавливайте только хорошо известное и надлежащим образом проверенное программное обеспечение; ищите приложения с долгой историей репутации и значительной базой установок.

«T используйте кошельки, которые хранят закрытые ключи на вашем ноутбуке/настольном компьютере; закрытые ключи должны храниться на специальных аппаратных устройствах», — сказал Лопп.

Смотрите также:Как хранить Bitcoin

Этот момент подчеркивает важность хранения Криптo в холодных аппаратных кошельках и записи сид-фраз, а не просто хранения их на компьютере. Оба эти метода делают их недоступными для вредоносных программ, которые отслеживают вашу онлайн-активность.

Существуют дополнительные меры, которые можно предпринять, если вы считаете, что ваш компьютер уже мог быть взломан.

«Чтобы убедиться, что вы не заражены, мы рекомендуем вам принять упреждающие меры и сканировать свои устройства на предмет вредоносной активности», — сказал Мехтингер.

В отчете Мехтингер предлагает, если вы считаете, что стали жертвой этого мошенничества, вам необходимо завершить запущенные процессы и удалить все файлы, связанные с вредоносным ПО. Вам также необходимо убедиться, что ваш компьютер чист и на нем не запущен вредоносный код. Intezer создалСканер конечной точкидля сред Windows иИнтерзер Протект, бесплатный инструмент сообщества для пользователей Linux. Более подробную информацию об обнаружении можно найти в оригинальном отчете.

И, конечно же, вам следует перевести свои средства на новый Криптo и сменить все свои пароли.

Более высокая цена Bitcoin привлекает больше вредоносных программ

Поскольку цена Bitcoin продолжает расти, Мехтингер T видит замедления подобных атак. На самом деле, они, скорее всего, участятся.

«На кону большие капиталы, что является классикой для финансово мотивированных хакеров», — сказала она.

Лопп заявил, что мы увидим, как злоумышленники будут тратить все больше ресурсов на разработку новых способов лишить людей доступа к их закрытым ключам.

«Хотя разработка новой атаки требует гораздо больших усилий, награда также потенциально выше, поскольку она с большей вероятностью обманет людей, поскольку знание об этом стиле атаки не было распространено среди пользователей», — сказал он. «То есть люди с большей вероятностью подвергнут себя атаке неосознанно».