ElectroRAT

De hausse van de cryptocurrency-sector die enkele jaren geleden begon en nog steeds sterk is, zou ongetwijfeld de aandacht van de kwaadaardige hackers trekken. Inderdaad, het aantal malwarebedreigingen dat het afgelopen jaar in het wild is losgelaten en gericht was op gebruikers van cryptocurrency, vertoont voornamelijk een aanzienlijke groei. Een andere waarneembare trend onder cybercriminelen is de toegenomen acceptatie van de Go-programmeertaal. Vergeleken met de reeds gevestigde en nogal gangbare C, C ++ en C #, biedt het gebruik van Go verschillende duidelijke voordelen. Malwarecode die in Go is geschreven, is nog steeds iets beter in het vermijden van detectie. Het is moeilijker voor reverse engineering en omdat de binaire bestanden gemakkelijker te compileren zijn, kunnen kwaadwillende operators snel dreigingen voor meerdere platforms opzetten.

Een van de nieuwste bedreigingen die in deze categorie vallen, werd ElectroRAT genoemd door de info-sec-onderzoekers van Intezer Labs, die het voor het eerst ontdekten. ElectroRAT is uitgerust met tal van opdringerige mogelijkheden gericht op het verzamelen en exfiltreren van gevoelige gegevens van de gecompromitteerde apparaten. Het kan keylog-routines opzetten, screenshots maken, willekeurige commando's uitvoeren, extra bestanden downloaden of geselecteerde bestanden uploaden naar een opslagplaats onder controle van hackers. Ondanks de veelheid aan toepassingen die een dergelijke dreiging zou kunnen hebben, zijn de onderzoekers ervan overtuigd dat het belangrijkste doel van ElectroRAT was om adressen voor cryptocurrency-portemonnees te verkrijgen, die vervolgens van geld zullen worden ontdaan. Naar schatting 6.500 gebruikers zijn besmet geraakt met ElectroRAT. Het aantal was gebaseerd op het aantal keren dat een Pastebin-URL met het adres van de Command and Contro-servers (C&C, C2) van de dreiging werd geopend.

Hoewel ElectroRAT werd gedetecteerd in december 2020, is de dreigende campagne gewijd aan de distributie ervan naar schatting begonnen aan het begin van het jaar, in de eerste dagen van januari 2020. De hackers creëerden drie afzonderlijke nep-cryptocurrency-applicaties genaamd DaoPoker, Jamm en eTrade / Kintum om de code van ElectorRAT te dragen. DaoPoker deed zich voor als een pokertoepassing die het gebruik van cryptocurrencies mogelijk maakt, terwijl de andere twee malware-applicaties zich voordeden als een gebruiksvriendelijk handelsplatform voor cryptocurrency. Voor elke applicatie was een speciale website opgezet - daopker.com, jamm.to en kintum.io. De hackers creëerden versies van alle drie de applicaties voor elk van de reguliere platforms - Windows, Mac en Linux. Niets vermoedende gebruikers werden doorverwezen naar de verraderlijke applicaties en hun speciale corrupte websites via advertenties die door de hackers op verschillende sociale mediaplatforms werden geplaatst, evenals gespecialiseerde cryptocurrency-forums.

Gebruikers die actief met cryptocurrency omgaan, zouden alerter moeten worden als het gaat om malwarebedreigingen die gevoelige privégegevens van hun apparaten proberen te onderscheppen, oogsten en exfiltreren.

Trending

Meest bekeken

Bezig met laden...