Questo malware elusivo ha preso di mira i portafogli Cripto per un anno

Attivo ormai da un anno, l'insidioso malware ElectroRAT sta anticipando il 2020 nel 2021 e sta prendendo di mira i portafogli Cripto .

Un ricercatore della società di sicurezza informatica Intezer haidentificato e documentatoil funzionamento interno di ElectroRAT, che ha preso di mira e prosciugato i fondi delle vittime.

Secondo il ricercatore Avigayil Mechtinger, l'operazione malware include una serie di strumenti dettagliati che ingannano le vittime, tra cui una "campagna di marketing, applicazioni personalizzate relative alle criptovalute e un nuovo strumento di accesso remoto (RAT) scritto da zero".

Il malware si chiama ElectroRAT perché è uno strumento di accesso remoto incorporato nelle app create suElettrone, una piattaforma di creazione di app. Da qui, ElectroRAT.

"Non sorprende vedere nuovi malware pubblicati, soprattutto durante un mercato rialzista in cui il valore delle Criptovaluta sta aumentando rapidamente e rendendo tali attacchi più redditizi", ha affermato Jameson Lopp, direttore Tecnologie (CTO) presso la startup di custodia Cripto Casa.

Negli ultimi mesi,Bitcoine altre criptovalute sono entrate in una fase rialzista, registrando un'impennata dei prezzi in tutto il settore.

Vedi anche:Nuovo su Bitcoin? Stai al sicuro ed evita queste truffe comuni

Che cos'è ElectroRAT?

Il malware ElectroRat è scritto nel linguaggio di programmazione open source Golang, che è ottimo per le funzionalità multipiattaforma e prende di mira più sistemi operativi, tra cui macOS, Linux e Windows.

Secondo il rapporto, come parte dell'operazione malware, gli aggressori hanno creato "registrazioni di domini, siti web, applicazioni trojanizzate e falsi account sui social media".

Nel rapporto, Mechtinger osserva che, sebbene gli aggressori tentino comunemente di raccogliere le chiavi private utilizzate per accedere ai portafogli degli utenti, è piuttosto RARE vedere strumenti originali come ElectroRAT e le varie app scritte "da zero" e che prendono di mira più sistemi operativi.

"Scrivere il malware da zero ha anche permesso alla campagna di passare inosservata per quasi un anno, eludendo tutti i rilevamenti antivirus", ha scritto Mechtinger nel rapporto.

Lopp ha riecheggiato questi commenti e ha affermato che è particolarmente interessante che il malware venga compilato e preso di mira tutti e tre i principali sistemi operativi.

"La maggior parte del valore del malware tende a essere solo per Windows a causa dell'ampia base di installazione e della sicurezza più debole del sistema operativo", ha affermato Lopp. "Nel caso di Bitcoin, gli autori del malware potrebbero pensare che molti dei primi utilizzatori siano persone più tecniche che utilizzano Linux".

Come funziona

Per attirare le vittime, gli aggressori di ElectroRat hanno creato tre diversi domini e app che funzionano su più sistemi operativi.

Le pagine per scaricare le app sono state create appositamente per questa operazione e progettate per apparire come entità legittime.

Le app associate si rivolgono specificamente e mirano agli utenti Criptovaluta . "Jamm" e "eTrade" sono app di gestione del trading; "DaoPoker" è un'app di poker che utilizza la Criptovaluta.

Utilizzando falsi profili social e utenti, oltre a pagare un influencer dei social media per la loro pubblicità, l'attaccante ha pompato le app, anche promuovendole in forum mirati Criptovaluta e blockchain come parlare di bitcoin E SteemCoinPanI post incoraggiavano i lettori a guardare i siti Web dall'aspetto professionale e a scaricare le app quando, in realtà, stavano scaricando anche il malware.

Ad esempio, la pagina Twitter di DaoPoker aveva 417 follower mentre un inserzionista sui social media con oltre 25.000 follower su Twitter promuoveva eTrade. Al momento in cui scrivo, ilPagina Twitter di DaoPokerè ancora in diretta.

Sebbene le app sembrino legittime a prima vista sul front-end, stanno eseguendo attività in background nefaste, prendendo di mira i wallet Criptovaluta degli utenti. Sono anche ancora attive.

Vedi anche:Attacco di phishing "convincente" prende di mira gli utenti di portafogli hardware Ledger

"Gli hacker vogliono impossessarsi della tua Criptovaluta e sono disposti ad andare lontano: impiegano mesi di lavoro per creare aziende false, false reputazioni e applicazioni dall'aspetto innocente che nascondono malware per rubare le tue monete", ha affermato Mechtinger.

Cosa fa

"ElectroRAT ha diverse capacità", ha detto Mechtinger in un'e-mail. "Può fare screenshot, key log, caricare cartelle/file dal computer di una vittima e altro ancora. Dopo l'esecuzione, stabilisce comandi con il suo server di comando e controllo e attende i comandi".

Il rapporto suggerisce che il malware prende di mira specificatamente gli utenti Criptovaluta allo scopo di attaccare i loro portafogli Cripto , notando che le vittime sono state osservate mentre commentavano post correlati alla popolare app di portafoglio Ethereum Metamask. Sulla base delle osservazioni dei ricercatori sui comportamenti del malware, è possibile che siano state compromesse più di 6,5 mila persone.

Come evitarlo

Il primo passo è il migliore ed è non scaricare nessuna di queste app, punto e basta.

In generale, quando cerchi nuove app, Lopp suggerisce di evitare siti Web e forum poco raccomandabili. Installa solo software noti e opportunamente recensiti; cerca app con una lunga cronologia di reputazione e basi di installazione considerevoli.

"T utilizzare portafogli che memorizzano le chiavi private sul tuo laptop/desktop; le chiavi private dovrebbero essere memorizzate su dispositivi hardware dedicati", ha affermato Lopp.

Vedi anche:Come conservare i tuoi Bitcoin

Questo punto rafforza l'importanza di conservare le tue Cripto in cold hardware wallet e di scrivere frasi seed anziché semplicemente conservarle sul tuo computer. Entrambe queste tecniche le rendono inaccessibili al malware che trolla la tua attività online.

Se ritieni che il tuo computer sia già stato compromesso, puoi adottare misure secondarie.

"Per assicurarti di non essere infettato, ti consigliamo di adottare misure proattive e di eseguire la scansione dei tuoi dispositivi per rilevare attività dannose", ha affermato Mechtinger.

Nel rapporto, Mechtinger suggerisce che se pensi di essere vittima di questa truffa, devi interrompere i processi in esecuzione ed eliminare tutti i file correlati al malware. Devi anche assicurarti che la tua macchina sia pulita e che esegua codice non dannoso. Intezer ha creatoScanner di endpointper ambienti Windows eProtezione Intezer, uno strumento comunitario gratuito per gli utenti Linux. Informazioni più dettagliate sul rilevamento possono essere trovate nel report originale.

E, naturalmente, dovresti spostare i tuoi fondi su un nuovo portafoglio Cripto e cambiare tutte le tue password.

Un prezzo più alto Bitcoin attrae più malware

Con il prezzo del Bitcoin che continua a salire, Mechtinger T vede attacchi come questo rallentare. Anzi, è probabile che aumenteranno.

"Ci sono in gioco capitali elevati, il che è tipico degli hacker motivati finanziariamente", ha affermato.

Lopp ha affermato che gli aggressori dedicheranno sempre più risorse alla ricerca di nuovi modi per sottrarre le chiavi private alle persone.

"Sebbene un nuovo attacco richieda uno sforzo molto maggiore per svilupparsi, le ricompense sono anche potenzialmente più elevate perché è più probabile che inganni le persone perché la conoscenza di quello stile di attacco non è stata diffusa tra la base di utenti", ha affermato. "Ovvero, è più probabile che le persone si espongano all'attacco inconsapevolmente".