Badacze cyberbezpieczeństwa z firmy Intezer Labso odkryli nowego trojana umożliwiającego kradzieże kryptowalut. ElectroRAT był ukryty od roku w trzech aplikacjach: Jamm, eTrade (Kintum) i DaoPoker.
Wszystkie 3
aplikacje były hostowane na własnych stronach internetowych. Jamm i eTrade (Kintum) to fałszywe programy do handlu kryptowalutami, a DaoPoker należy do gier hazardowych. Osoby, które pobrały którąś z aplikacji mogły przekonać się o ich ukrytych funkcjach, do których należało czyszczenie portfeli kryptowalut. Wirus mógł znaleźć się na tysiącach komputerów z systemami operacyjnymi
Windows,
MacOS oraz
Linux.
Kampania szkodliwego oprogramowania ElectroRAT - źródło: intezer.com
ElectroRAT - szczegóły działania
Po zainstalowaniu i uruchomieniu aplikacji na pierwszym planie był widoczny interfejs, zaprojektowany w celu odwrócenia uwagi od szkodliwych procesów zachodzących w tle.
ElectroRAT posiada takie funkcje jak rejestrowanie wciskanych klawiszy, robienie zrzutów ekranu, przesyłanie oraz pobieranie plików z dysku oraz na dysk, a także umożliwia zdalny dostęp do komputera ofiary. Złośliwe oprogramowanie zostało napisane w wieloplatformowym języku programowania o nazwie Golang, przez co jego wykrycie było bardzo utrudnione. Zdaniem Intezer Labso, w wyniku jego działania
kryptowaluty straciły tysiące osób.
Aplikacje zawierające szkodliwą "niespodziankę" były promowane poprzez Twitter i Telegram oraz fora dla użytkowników kryptowalut, m.in. Bitcointalk.
Aplikacje zawierające trojana ElectroRAT:
DaoPoker
STRONA: daopoker.com
TWITTER: @daopoker
TELEGRAM: DaoPoker_Official
Jamm
STRONA: jamm.to
eTrade (Kintum)
STRONA: kintum.io
Komentarze