ElectroRAT

Il boom del settore delle criptovalute iniziato diversi anni fa e che continua ancora oggi a catturare l'attenzione degli hacker malvagi. In effetti, il numero di minacce malware scatenate nell'ultimo anno che hanno preso di mira gli utenti di criptovaluta mostra prevalentemente una crescita significativa. Un'altra tendenza osservabile tra i criminali informatici è la maggiore adozione del linguaggio di programmazione Go. Rispetto al C, C ++ e C # già consolidati e piuttosto tradizionali, l'utilizzo di Go offre diversi vantaggi distinti. Il codice malware scritto in Go è ancora in qualche modo migliore per evitare il rilevamento. È più difficile per il reverse engineering e, poiché i suoi binari sono più facili da compilare, gli operatori malvagi possono impostare rapidamente minacce multipiattaforma.

Una delle ultime minacce che rientrano in questa categoria è stata chiamata ElectroRAT dai ricercatori di info-sec di Intezer Labs, che per primi l'hanno rilevata. ElectroRAT è dotato di numerose capacità intrusive orientate alla raccolta e all'esfiltrazione di dati sensibili dai dispositivi compromessi. Può impostare routine di keylogging, acquisire schermate, eseguire comandi arbitrari, scaricare file aggiuntivi o caricare file selezionati in un repository sotto il controllo degli hacker. Nonostante la moltitudine di usi che una tale minaccia potrebbe avere, i ricercatori sono fiduciosi che lo scopo principale di ElectroRAT fosse quello di ottenere indirizzi di portafogli di criptovaluta, che verranno successivamente prosciugati di fondi. Si stima che 6.500 utenti siano stati infettati da ElectroRAT. Il numero era basato sulle volte in cui è stato effettuato l'accesso a un URL Pastebin contenente l'indirizzo dei server Command e Contro (C&C, C2) della minaccia.

Sebbene ElectroRAT sia stato rilevato a dicembre 2020, si stima che la minacciosa campagna dedicata alla sua distribuzione sia iniziata all'inizio dell'anno, nei primi giorni di gennaio 2020. Gli hacker hanno creato tre distinte applicazioni di criptovaluta false chiamate DaoPoker, Jamm ed eTrade / Kintum per portare il codice di ElectorRAT. DaoPoker si proponeva come un'applicazione di poker che consente l'uso di criptovalute, mentre le altre due applicazioni contenenti malware fingevano di essere una piattaforma di scambio di criptovaluta facile da usare. Ogni applicazione aveva un sito web dedicato impostato per essa: daopker.com, jamm.to e kintum.io. Gli hacker hanno creato versioni di tutte e tre le applicazioni per ciascuna delle piattaforme tradizionali: Windows, Mac e Linux. Gli utenti ignari sono stati indirizzati verso le applicazioni insidiose e i loro siti Web corrotti dedicati attraverso annunci pubblicitari pubblicati dagli hacker su diverse piattaforme di social media e forum specializzati di criptovaluta.

Gli utenti che si impegnano attivamente con la criptovaluta dovrebbero iniziare a essere più attenti quando si tratta di minacce malware che cercano di intercettare, raccogliere ed esfiltrare dati privati sensibili dai loro dispositivi.