Ця невловима шкідлива програма націлена на Крипто протягом року

Підступне шкідливе програмне забезпечення ElectroRAT, яке працює вже рік, переносить 2020 рік у 2021 рік і націлене на Крипто .

Дослідник компанії з кібербезпеки Intezer має виявлені та задокументовані внутрішню роботу ElectroRAT, яка була спрямована на виведення коштів жертв.

За словами дослідника Авігаїла Мехтінгера, робота зі зловмисним програмним забезпеченням включає низку детальних інструментів, які обманюють жертв, включаючи «маркетингову кампанію, спеціальні програми, пов’язані з криптовалютою, і новий інструмент віддаленого доступу (RAT), написаний з нуля».

Зловмисне програмне забезпечення називається ElectroRAT, оскільки це інструмент віддаленого доступу, вбудований у програми, створені на Електрон, платформа для створення додатків. Отже, ЕлектроРАТ.

«Не дивно бачити, як публікуються нові зловмисні програми, особливо під час зростання цін на Криптовалюта , що робить такі атаки більш прибутковими», — сказав Джеймсон Лопп, головний Технології директор (CTO) стартапу з питань зберігання Крипто . Casa.

За останні кілька місяців, Bitcoin та інші криптовалюти вийшли на бичачий ринок, побачивши різке зростання цін у всій галузі.

Дивіться також: Новачок у Bitcoin? Будьте в безпеці та уникайте цих поширених шахрайств

Що таке ElectroRAT?

Зловмисне програмне забезпечення ElectroRat написано на мові програмування з відкритим вихідним кодом Golang, яка підходить для роботи між платформами та націлена на кілька операційних систем, включаючи macOS, Linux і Windows.

Відповідно до звіту, в рамках операції зі зловмисним програмним забезпеченням зловмисники створили «реєстрацію доменів, веб-сайти, троянські програми та підроблені акаунти в соціальних мережах».

У звіті Мехтінгер зазначає, що хоча зловмисники зазвичай намагаються зібрати приватні ключі, які використовуються для доступу до гаманців людей, побачити оригінальні інструменти, такі як ElectroRAT і різні програми, написані «з нуля» та націлені на кілька операційних систем, досить RARE.

«Написання зловмисного програмного забезпечення з нуля також дозволило кампанії пройти поза радаром протягом майже року, уникаючи всіх виявлень антивірусів», — написав Мехтінгер у звіті.

Лопп повторив ці коментарі та сказав, що особливо цікаво те, що зловмисне програмне забезпечення збирається для всіх трьох основних операційних систем і спрямоване на них.

«Більшість цінних шкідливих програм, як правило, призначені лише для Windows через широку базу встановлення та слабкий захист операційної системи», — сказав Лопп. «У випадку з Bitcoin автори зловмисного програмного забезпечення можуть вважати, що багато перших користувачів є більш технічними людьми, які використовують Linux».

Як це працює

Щоб заманити жертв, зловмисники ElectroRat створили три різні домени та програми, що працюють на кількох операційних системах.

Сторінки для завантаження додатків були створені спеціально для цієї операції та розроблені так, щоб виглядати як законні особи.

Пов’язані програми спеціально призначені для користувачів Криптовалюта та націлені на них. «Jamm» і «eTrade» — це програми для управління торгівлею; «DaoPoker» — це покерний додаток, який використовує Криптовалюта.

Використовуючи підроблені соціальні медіа та профілі користувачів, а також сплачуючи впливовим особам у соціальних мережах за їхню рекламу, зловмисники розкачували додатки, зокрема рекламуючи їх на цільових форумах про Криптовалюта та блокчейн, як-от bitcointalk і SteemCoinPan. Дописи заохочували читачів переглядати професійно виглядаючі веб-сайти та завантажувати програми, хоча насправді вони також завантажували зловмисне програмне забезпечення.

Наприклад, сторінка DaoPoker у Твіттері мала 417 підписників, тоді як рекламодавець у соціальних мережах із понад 25 000 підписників у Твіттері рекламував eTrade. На момент написання, Сторінка DaoPoker у Twitter все ще живе.

Хоча програми виглядають легітимними на перший погляд у зовнішній частині, вони запускають мерзенні фонові дії, націлені на гаманці Криптовалюта користувачів. Вони також досі активні.

Дивіться також: «Переконлива» фішингова атака націлена на користувачів апаратного гаманця Ledger

«Хакери хочуть заволодіти вашою Криптовалюта, і вони готові піти далеко з цим – витратити місяці роботи на створення фальшивих компаній, фальшивої репутації та невинних на вигляд додатків, які приховують шкідливе програмне забезпечення, щоб викрасти ваші монети», – сказав Мехтінгер.

Що воно робить

«ElectroRAT має різні можливості, — сказав Мехтінгер в електронному листі. "Він може робити знімки екрана, ключові журнали, завантажувати папки/файли з комп’ютера жертви тощо. Після виконання він встановлює команди за допомогою свого командного та контрольного сервера й чекає на команди".

У звіті йдеться про те, що зловмисне програмне забезпечення спеціально націлено на користувачів Криптовалюта з метою атаки на їхні Крипто гаманці, зазначаючи, що жертви були помічені, коментуючи публікації, пов’язані з популярним додатком-гаманцем Ethereum Metamask. Виходячи зі спостережень дослідників за поведінкою зловмисного програмного забезпечення, можливо, скомпрометовано більше 6,5 тисяч осіб.

Як цього уникнути

Перший крок — найкращий крок, і це не завантажувати жодну з цих програм, крапка.

Загалом, коли ви шукаєте нові програми, Лопп радить уникати тіньових веб-сайтів і форумів. Встановлюйте лише добре відоме та перевірене програмне забезпечення; шукайте програми з довгою історією репутації та значною кількістю встановлень.

«T використовуйте гаманці, які зберігають приватні ключі на вашому ноутбуці/настільному комп’ютері; приватні ключі слід зберігати на спеціальних апаратних пристроях», — сказав Лопп.

Дивіться також: Як зберігати свій Bitcoin

Цей пункт підкреслює важливість зберігання вашої Крипто в холодних апаратних гаманцях і запису вихідних фраз, а не просто зберігання їх на комп’ютері. Обидва ці способи роблять їх недоступними для зловмисного програмного забезпечення, яке контролює вашу активність в Інтернеті.

Є додаткові кроки, які можна вжити, якщо ви вважаєте, що ваш комп’ютер уже зламано.

«Щоб переконатися, що ви не заражені, ми рекомендуємо [вам] вжити профілактичних заходів і просканувати свої пристрої на наявність зловмисної активності», — сказав Мехтінгер.

У звіті Mechtinger пропонує, що якщо ви вважаєте, що стали жертвою цього шахрайства, вам потрібно припинити запущені процеси та видалити всі файли, пов’язані зі зловмисним програмним забезпеченням. Вам також потрібно переконатися, що ваш комп’ютер чистий і на ньому працює нешкідливий код. Інтезер створив Сканер кінцевої точки для середовищ Windows і Інтезер Захист, безкоштовний інструмент спільноти для користувачів Linux. Більш детальну інформацію про виявлення можна знайти в оригінальному звіті.

І, звичайно, ви повинні перемістити свої кошти на новий Крипто і змінити всі паролі.

Вища ціна Bitcoin приваблює більше шкідливих програм

Оскільки ціна Bitcoin продовжує зростати, Мехтінгер T бачить уповільнення подібних атак. Фактично, вони, ймовірно, зростуть.

«На кону високі капітали, що є класичним для фінансово мотивованих хакерів», — сказала вона.

Лопп сказав, що ми побачимо, що зловмисники будуть витрачати все більше і більше ресурсів на пошук нових способів відлучити людей від їхніх особистих ключів.

«Хоча розробка нової атаки потребує набагато більше зусиль, винагорода також потенційно вища, тому що вона з більшою ймовірністю введе людей в оману, оскільки знання про такий стиль атаки не були поширені серед користувачів», — сказав він. «Тобто люди, швидше за все, піддадуться атаці несвідомо».