ElectroRAT

Bommen i kryptokurrency-sektoren, der startede for flere år siden og stadig går stærkt i dag, var bundet til at fange onde hackers opmærksomhed. Faktisk viser antallet af malware-trusler, der er frigivet i naturen det sidste år, der er målrettet mod kryptokurrencybrugere, overvejende betydelig vækst. En anden observerbar tendens blandt cyberkriminelle er den øgede anvendelse af Go-programmeringssproget. Sammenlignet med den allerede etablerede og ret almindelige C, C ++ og C # tilbyder brug af Go flere forskellige fordele. Malwarekode skrevet i Go er stadig noget bedre til at undgå afsløring. Det er sværere for reverse engineering, og på grund af at dets binære filer er lettere at kompilere, kan onde operatører hurtigt oprette flere platformstrusler.

En af de seneste trusler, der falder inden for denne kategori, blev navngivet ElectroRAT af infosek-forskerne ved Intezer Labs, der først opdagede det. ElectroRAT er udstyret med adskillige påtrængende funktioner, der er rettet mod at høste og exfiltrere følsomme data fra de kompromitterede enheder. Det kan oprette keylogging-rutiner, tage skærmbilleder, udføre vilkårlige kommandoer, downloade yderligere filer eller uploade valgte filer til et lager under hackers kontrol. På trods af de mange anvendelser, som en sådan trussel kunne have, er forskerne overbeviste om, at ElectroRATs hovedformål var at skaffe kryptovaluta-tegnebogadresser, som efterfølgende vil blive drænet af midler. Anslået 6.500 brugere er blevet inficeret med ElectroRAT. Antallet var baseret på de tidspunkter, hvor en Pastebin URL indeholdende adressen på trusselens Command and Contro (C&C, C2) servere er blevet åbnet.

Selvom ElectroRAT blev opdaget i december 2020, skønnes den truende kampagne dedikeret til distributionen at være begyndt lige i starten af året de første dage i januar 2020. Hackerne oprettede tre separate falske kryptokurrency-applikationer ved navn DaoPoker, Jamm og eTrade. / Kintum til at bære ElectorRAT's kode. DaoPoker udgav sig som en pokerapplikation, der tillader brug af kryptokurver, mens de to andre malware-laced applikationer foregav at være en letanvendelig kryptovaluta-handelsplatform. Hver applikation havde et dedikeret websted oprettet til det - daopker.com, jamm.to og kintum.io. Hackerne oprettede versioner af alle tre applikationer til hver af de almindelige platforme - Windows, Mac og Linux. Intetanende brugere blev rettet mod de snigende applikationer og deres dedikerede beskadigede websteder gennem reklamer, der blev offentliggjort af hackere på forskellige sociale medieplatforme samt specialiserede kryptokurrencyfora.

Brugere, der aktivt beskæftiger sig med kryptokurrency, bør begynde at være mere opmærksomme, når det kommer til malware-trusler, der forsøger at opfange, høste og exfiltrere følsomme private data fra deres enheder.