ElectroRAT был написан с нуля и, вероятно, был установлен тысячами.

Дэн Гудин. 5 января 2021 г., 15:00 UTC

криптовалюты, windows, macos, linux

    Стремительный рост стоимости криптовалюты за последние несколько лет побивал все рекорды, превращая людей с некогда скромными активами в мгновенных миллионеров. Одна решительная группа преступников попыталась присоединиться к партии, используя широкомасштабную операцию, которая в течение последних 12 месяцев использовала полноценную маркетинговую кампанию по распространению специально созданного вредоносного ПО, написанного с нуля для устройств Windows, macOS и Linux.

    Согласно отчету, опубликованному охранной фирмой Intezer, операция, которая проводится по крайней мере с января 2020 года, не щадила усилий для кражи адресов кошельков ничего не подозревающих держателей криптовалюты. Схема включает три отдельных троянских приложения, каждое из которых работает в Windows, macOS и Linux. Он также полагается на сеть поддельных компаний, веб-сайтов и профилей в социальных сетях, чтобы завоевать доверие потенциальных жертв.

    READ  Проверить Быстродействие Компьютера Windows 10

    Необычно скрытный

    Приложения представляют собой безобидное программное обеспечение, которое полезно держателям криптовалюты. Внутри спрятан троян удаленного доступа, написанный с нуля. После установки приложения ElectroRAT. как Intezer назвала бэкдор. позволяет злоумышленникам регистрировать нажатия клавиш, делать снимки экрана, загружать, скачивать и устанавливать файлы, а также выполнять команды на зараженных машинах. В доказательство их скрытности фальшивые криптовалютные приложения остались незамеченными всеми основными антивирусными продуктами.

    «Очень редко можно увидеть RAT, написанный с нуля и используемый для кражи личной информации пользователей криптовалюты». написали исследователи в отчете Intezer. «Еще реже можно увидеть такую ​​широкомасштабную и целевую кампанию, включающую различные компоненты, такие как поддельные приложения и веб-сайты, а также маркетинговые / рекламные усилия через соответствующие форумы и социальные сети».

    Три приложения, которые использовались для заражения целей, назывались «Jamm», «eTrade» и «DaoPoker». Первые два приложения утверждали, что это платформа для торговли криптовалютой. Третьим было покерное приложение, в котором можно было делать ставки с криптовалютой.

    Мошенники использовали поддельные рекламные кампании на форумах, посвященных криптовалюте, таких как bitcointalk и SteemCoinPan. Рекламные акции, опубликованные поддельными пользователями социальных сетей, привели к одному из трех веб-сайтов, по одному для каждого из доступных троянизированных приложений. ElectroRAT написан на языке программирования Go.

    READ  Удалить Обновления Windows 10

    На изображении ниже представлена ​​операция и различные части, которые она использовала для нацеливания на пользователей криптовалюты:

    Отслеживание Execmac

    ElectroRAT использует страницы Pastebin, опубликованные пользователем с именем «Execmac», чтобы найти свой командно-управляющий сервер. Страница профиля пользователя показывает, что с января 2020 года страницы получили более 6700 просмотров. Intezer считает, что количество обращений примерно соответствует количеству зараженных.

    Фирма безопасности сообщила, что Execmac в прошлом был связан с троянами Windows Amadey и KPOT, которые доступны для покупки на подпольных форумах.

    «Причина этого [изменения] может заключаться в нацеливании на несколько операционных систем». говорится в сообщении Intezer. «Еще одним мотивирующим фактором является то, что это неизвестное вредоносное ПО Golang, которое позволяло кампании оставаться незамеченным в течение года, уклоняясь от всех обнаружений антивируса».

    Лучший способ узнать, заразились ли вы. это поискать установку любого из трех приложений, упомянутых ранее. Сообщение Intezer также предоставляет ссылки, которые пользователи Windows и Linux могут использовать для обнаружения работы ElectroRAT в памяти. Зараженные люди должны вылечить свои системы, сменить все пароли и перевести средства в новый кошелек.

    READ  Не Меняется Разрешение Экрана Windows 8

    Продвигаемые комментарии

    Бремя доказывания любого требования лежит на истце. Вдвойне так, когда заявляешь о незаконности / незаконности. Если вы утверждаете, что pastebin НЕ является законным сайтом, пожалуйста, приведите свой аргумент, чтобы доказать это утверждение. В противном случае остальные из нас будут просто продолжать свою жизнь, игнорируя вас, потому что это правильный ответ на кого-то, требующего от других доказать «невиновность» любого данного сайта или человека.

    Источник