ElectroRAT

O boom do setor de cripto moedas, que começou há vários anos e ainda está forte hoje, chamou a atenção de hackers malvados. Na verdade, o número de ameaças de malware desencadeadas no ano passado que visavam usuários de cripto moedas predominantemente mostra um crescimento significativo. Outra tendência observável entre os cibercriminosos é a crescente adoção da linguagem de programação Go. Em comparação com o C, C ++ e C # já estabelecido e bastante convencional, o uso do Go oferece várias vantagens distintas. O código de malware escrito em Go ainda é um pouco melhor para evitar a detecção. É mais difícil para a engenharia reversa e, devido ao fato de seus binários serem mais fáceis de compilar, os operadores malvados podem configurar ameaças em várias plataformas rapidamente.

Uma das ameaças mais recentes que se enquadram nesta categoria foi chamada de ElectroRAT pelos pesquisadores de info-sec do Intezer Labs, que a detectou pela primeira vez. O ElectroRAT é equipado com vários recursos intrusivos voltados para a coleta e extração de dados confidenciais dos dispositivos comprometidos. Ele pode configurar rotinas de keylogging, fazer capturas de tela, executar comandos arbitrários, baixar arquivos adicionais ou enviar arquivos selecionados para um repositório sob o controle de hackers. Apesar da multiplicidade de usos que tal ameaça poderia ter, os pesquisadores estão confiantes de que o principal objetivo do ElectroRAT era obter endereços de carteiras de cripto moedas, que teriam seus fundos drenados posteriormente. Estima-se que 6.500 usuários foram infectados com ElectroRAT. O número foi baseado nas vezes em que um URL Pastebin contendo o endereço dos servidores de Comando e Controle (C&C, C2) da ameaça foi acessado.

Embora ElectroRAT tenha sido detectado em dezembro de 2020, estima-se que a campanha ameaçadora dedicada à sua distribuição tenha começado bem no início do ano, nos primeiros dias de janeiro de 2020. Os hackers criaram três falsos aplicativos de cripto moeda, chamados DaoPoker, Jamm e eTrade/Kintum para transportar o código do ElectorRAT. O DaoPoker se apresentou como um aplicativo de pôquer que permite o uso de cripto moedas, enquanto os outros dois aplicativos com malware fingiram ser uma plataforma de comércio de cripto moedas fácil de usar. Cada aplicativo tinha um site dedicado configurado para ele - daopker.com, jamm.to e kintum.io. Os hackers criaram versões de todos os três aplicativos para cada uma das plataformas principais - Windows, Mac e Linux. Os usuários desavisados foram direcionados para os aplicativos insidiosos e seus sites corrompidos dedicados por meio de anúncios postados pelos hackers em diferentes plataformas de mídia social, bem como fóruns especializados em cripto moeda.

Os usuários que se envolvem ativamente com cripto moedas devem começar a ficar mais alertas quando se trata de ameaças de malware que tentam interceptar, coletar e exfiltrar dados privados confidenciais de seus dispositivos.