ElectroRAT sfrutta il boom di Bitcoin per rubare criptovaluta

I criminali informatici hanno eseguito un'operazione sofisticata per rubare criptovaluta a vittime ignare attirandole su piattaforme di scambio false e utilizzando uno strumento di accesso remoto (RAT) creato da zero per accedere ai loro portafogli.

Secondo i ricercatori di Intezer Labs, la campagna, che dura da un anno, comprende registrazioni di domini, siti Web, applicazioni dannose, account di social media falsi e uno strumento di accesso remoto (RAT) precedentemente non rilevato chiamato ElectroRAT.

Gli hacker dietro l'operazione hanno invogliato gli utenti di criptovaluta a unirsi a tre app chiamate Jamm, eTrade e DaoPoker, cariche di ElectroRAT, promuovendole su forum popolari come bitcointalk. Gli utenti falsi hanno inviato post promozionali, mentre le app hanno anche avuto una presenza online attraverso la creazione di account Twitter e Telegram falsi.

Una volta che una di queste app è installata sul computer di una vittima, ElectroRAT viene utilizzato per raccogliere chiavi private per accedere ai portafogli delle vittime e rubare criptovalute, come Bitcoin, che ha recentemente avuto un boom significativo.

Questo strumento è scritto in Golang e compilato per prendere di mira i sistemi operativi più diffusi tra cui Windows, Linux e macOS, ha rivelato la società di sicurezza dopo aver appreso dell'esistenza dell'operazione a dicembre.

"È molto raro vedere un RAT scritto da zero e utilizzato per rubare informazioni personali agli utenti di criptovaluta", ha affermato Avigayil Mechtinger, ricercatore di sicurezza presso Intezer Labs.

"È ancora più raro vedere una campagna così ampia e mirata che includa vari componenti come app/siti web falsi e iniziative di marketing/promozionali tramite forum e social media pertinenti".

Una volta che le applicazioni sono in esecuzione, si apre un'interfaccia utente grafica (GUI) ed ElectroRAT inizia a funzionare in background come "mdworker". Questo è difficile da rilevare dal software antivirus a causa del modo in cui vengono scritti i binari.

Il malware è estremamente invadente, tuttavia, e ha varie funzionalità tra cui keylogging, acquisizione di schermate, caricamento di file dal disco, download di file ed esecuzione di comandi. Queste funzioni sono più o meno le stesse in tutte e tre le varianti di Windows, Linux e macOS.

Machtinger ha aggiunto che la campagna riflette la crescente importanza del mercato delle criptovalute, guidato dalla recente accusa di Bitcoin. La criptovaluta convenzionalmente volatile è aumentata negli ultimi mesi, con il suo valore che è esploso di recente per superare la soglia di $ 35.000 (circa £ 25.000) al momento della scrittura. In quanto tale, ha attratto i criminali informatici che sperano di sfruttarlo a scopo di lucro.

La campagna ElectroRAT ha già interessato più di 6.500 utenti, in base al numero di visitatori delle pagine pastebin utilizzate per individuare i server di comando e controllo.

Intezer Labs ha raccomandato alle vittime di adottare misure per proteggersi immediatamente. Questo processo di mitigazione include l'eliminazione del processo, l'eliminazione di tutti i file relativi al malware, lo spostamento di fondi in un nuovo portafoglio e la modifica di tutte le password.