Ce malware insaisissable cible les portefeuilles de Crypto depuis un an

Opérant depuis un an maintenant, le malware insidieux ElectroRAT fait entrer 2020 dans 2021 et cible les portefeuilles Crypto .

Un chercheur de la société de cybersécurité Intezer aidentifié et documentéle fonctionnement interne d’ElectroRAT, qui cible et draine les fonds des victimes.

Selon le chercheur Avigayil Mechtinger, l'opération de malware comprend une variété d'outils détaillés qui dupent les victimes, notamment une « campagne marketing, des applications personnalisées liées à la cryptomonnaie et un nouvel outil d'accès à distance (RAT) écrit à partir de zéro ».

Le malware s'appelle ElectroRAT car il s'agit d'un outil d'accès à distance intégré dans des applications basées surÉlectron, une plateforme de création d'applications. D'où le nom ElectroRAT.

« Il n'est pas surprenant de voir de nouveaux logiciels malveillants publiés, en particulier pendant un marché haussier où la valeur des Cryptomonnaie monte en flèche et rend ces attaques plus rentables », a déclaré Jameson Lopp, directeur Technologies (CTO) d'une startup de garde de Crypto . Maison.

Au cours des derniers mois,Bitcoinet d'autres crypto-monnaies sont entrées dans un marché haussier, voyant les prix monter en flèche dans l'ensemble du secteur.

Voir aussi :Nouveau sur Bitcoin? Protégez-vous et évitez ces arnaques courantes.

Qu'est-ce qu'ElectroRAT ?

Le malware ElectroRat est écrit dans le langage de programmation open source Golang, qui est adapté aux fonctionnalités multiplateformes et cible plusieurs systèmes d'exploitation, notamment macOS, Linux et Windows.

Dans le cadre de l'opération de malware, les attaquants ont mis en place « des enregistrements de domaines, des sites Web, des applications trojanisées et de faux comptes de réseaux sociaux », selon le rapport.

Dans le rapport, Mechtinger note que même si les attaquants tentent généralement de collecter les clés privées utilisées pour accéder aux portefeuilles des gens, voir des outils originaux comme ElectroRAT et les différentes applications écrites « à partir de zéro » et ciblant plusieurs systèmes d'exploitation est assez RARE.

« Le fait d’avoir écrit le malware à partir de zéro a également permis à la campagne de passer inaperçue pendant près d’un an en échappant à toutes les détections antivirus », écrit Mechtinger dans le rapport.

Lopp a fait écho à ces commentaires et a déclaré qu'il était particulièrement intéressant que le logiciel malveillant soit compilé pour et cible les trois principaux systèmes d'exploitation.

« La majorité des logiciels malveillants sont généralement réservés à Windows en raison de la large base d'installation et de la sécurité plus faible du système d'exploitation », a déclaré Lopp. « Dans le cas de Bitcoin, les auteurs de logiciels malveillants pourraient penser que beaucoup des premiers utilisateurs sont des techniciens utilisant Linux. »

Comment ça marche

Pour attirer les victimes, les attaquants d'ElectroRat ont créé trois domaines et applications différents fonctionnant sur plusieurs systèmes d'exploitation.

Les pages de téléchargement des applications ont été créées spécifiquement pour cette opération et conçues pour ressembler à des entités légitimes.

Les applications associées s'adressent spécifiquement aux utilisateurs de Cryptomonnaie . « Jamm » et « eTrade » sont des applications de gestion de transactions ; « DaoPoker » est une application de poker utilisant les Cryptomonnaie.

En utilisant de faux profils de médias sociaux et d'utilisateurs, ainsi qu'en payant un influenceur des médias sociaux pour sa publicité, l'attaquant a fait exploser les applications, notamment en les promouvant dans des forums ciblés de Cryptomonnaie et de blockchain comme Bitcointalk et SteemCoinPanLes publications encourageaient les lecteurs à consulter les sites Web d’apparence professionnelle et à télécharger les applications alors qu’en réalité, ils téléchargeaient également le logiciel malveillant.

Par exemple, la page Twitter de DaoPoker comptait 417 abonnés, tandis qu'un annonceur sur les réseaux sociaux, comptant plus de 25 000 abonnés sur Twitter, faisait la promotion d'eTrade. Au moment de la rédaction de cet article,Page Twitter de DaoPokerest toujours en direct.

Bien que les applications semblent légitimes à première vue, elles exécutent des activités malveillantes en arrière-plan, ciblant les portefeuilles de Cryptomonnaie des utilisateurs. Elles sont également toujours actives.

Voir aussi :Une attaque de phishing « convaincante » cible les utilisateurs du portefeuille matériel Ledger

« Les pirates informatiques veulent obtenir votre Cryptomonnaie et ils sont prêts à aller loin avec elle – passer des mois de travail à créer de fausses entreprises, une fausse réputation et des applications d'apparence innocente qui cachent des logiciels malveillants pour voler vos pièces », a déclaré Mechtinger.

Ce qu'il fait

« ElectroRAT possède diverses fonctionnalités », a expliqué Mechtinger dans un courriel. « Il peut prendre des captures d'écran, enregistrer des entrées, télécharger des dossiers/fichiers depuis la machine d'une victime, et bien plus encore. Une fois exécuté, il établit des commandes avec son serveur de commande et de contrôle et attend les commandes. »

Le rapport suggère que le malware cible spécifiquement les utilisateurs de Cryptomonnaie pour attaquer leurs portefeuilles Crypto . Les victimes ont été observées en train de commenter des publications liées à Metamask, la célèbre application de portefeuille Ethereum . D'après les observations des chercheurs sur le comportement du malware, plus de 6 500 personnes pourraient avoir été compromises.

Comment l'éviter

La première étape est la meilleure et c’est de ne télécharger aucune de ces applications, point final.

En général, lorsque vous recherchez de nouvelles applications, Lopp recommande d'éviter les sites web et forums douteux. Installez uniquement des logiciels connus et bien évalués ; privilégiez les applications bénéficiant d'une solide réputation et d'une base d'installation conséquente.

« N'utilisez T de portefeuilles qui stockent les clés privées sur votre ordinateur portable/de bureau ; les clés privées doivent être stockées sur des périphériques matériels dédiés », a déclaré Lopp.

Voir aussi :Comment stocker vos Bitcoin

Ce point souligne l'importance de stocker vos Crypto dans des portefeuilles matériels froids et de noter les phrases clés plutôt que de les stocker simplement sur votre ordinateur. Ces deux techniques les rendent inaccessibles aux logiciels malveillants qui s'attaquent à votre activité en ligne.

Il existe des mesures secondaires qui peuvent être prises si vous pensez que votre ordinateur a peut-être déjà été compromis.

« Pour vous assurer que vous n’êtes pas infecté, nous vous recommandons de prendre des mesures proactives et d’analyser vos appareils à la recherche d’activités malveillantes », a déclaré Mechtinger.

Dans son rapport, Mechtinger suggère aux personnes qui pensent être victimes de cette arnaque d'arrêter les processus en cours d'exécution et de supprimer tous les fichiers liés au logiciel malveillant. Il est également important de vérifier que votre machine est propre et qu'elle exécute du code non malveillant. Intezer a crééScanner de point de terminaisonpour les environnements Windows etIntezer Protect, un outil communautaire gratuit pour les utilisateurs Linux. Des informations plus détaillées sur la détection sont disponibles dans le rapport original.

Et, bien sûr, vous devez déplacer vos fonds vers un nouveau portefeuille Crypto et changer tous vos mots de passe.

Un prix du Bitcoin plus élevé attire davantage de logiciels malveillants

Alors que le prix du Bitcoin continue de grimper, Mechtinger ne prévoit T de ralentissement de ce type d'attaques. Au contraire, elles devraient se multiplier.

« Il y a des capitaux importants en jeu, ce qui est classique pour les pirates motivés par l'argent », a-t-elle déclaré.

Lopp a déclaré que nous verrons les attaquants consacrer de plus en plus de ressources à la recherche de nouvelles façons de séparer les gens de leurs clés privées.

« Si le développement d'une nouvelle attaque demande beaucoup plus d'efforts, les bénéfices sont potentiellement plus importants, car elle a plus de chances de tromper les utilisateurs, car ce type d'attaque n'est pas connu des utilisateurs », a-t-il déclaré. « En d'autres termes, les utilisateurs sont plus susceptibles de s'exposer à l'attaque sans le savoir. »