Este malware evasivo tem como alvo carteiras de Cripto há um ano

Em operação há um ano, o malware insidioso ElectroRAT está trazendo 2020 para 2021 e mirando carteiras de Cripto .

Um pesquisador da empresa de segurança cibernética Intezer temidentificado e documentadoo funcionamento interno do ElectroRAT, que tem como alvo e drenado os fundos das vítimas.

De acordo com o pesquisador, Avigayil Mechtinger, a operação de malware inclui uma variedade de ferramentas detalhadas que enganam as vítimas, incluindo uma “campanha de marketing, aplicativos personalizados relacionados a criptomoedas e uma nova Ferramenta de Acesso Remoto (RAT) escrita do zero”.

O malware é chamado ElectroRAT porque é uma ferramenta de acesso remoto que foi incorporada em aplicativos desenvolvidosElétron, uma plataforma de construção de aplicativos. Daí, ElectroRAT.

“Não é surpreendente ver novos malwares sendo publicados, especialmente durante um mercado em alta em que o valor da Criptomoeda está disparando e tornando esses ataques mais lucrativos”, disse Jameson Lopp, diretor de Tecnologia (CTO) da startup de custódia de Cripto Casa.

Nos últimos meses,Bitcoine outras criptomoedas entraram em um mercado em alta, fazendo com que os preços disparassem em todo o setor.

Veja também:Novo no Bitcoin? Fique seguro e evite esses golpes comuns

O que é ElectroRAT?

O malware ElectroRat é escrito na linguagem de programação de código aberto Golang, que é boa para funcionalidade multiplataforma e é direcionada a vários sistemas operacionais, incluindo macOS, Linux e Windows.

Como parte da operação de malware, os invasores configuraram “registros de domínio, sites, aplicativos trojanizados e contas falsas de mídia social”, de acordo com o relatório.

No relatório, Mechtinger observa que, embora os invasores geralmente tentem coletar chaves privadas usadas para acessar as carteiras das pessoas, é bastante RARE ver ferramentas originais como ElectroRAT e vários aplicativos escritos "do zero" e direcionados a vários sistemas operacionais.

“Escrever o malware do zero também permitiu que a campanha passasse despercebida por quase um ano, evitando todas as detecções de antivírus”, escreveu Mechtinger no relatório.

Lopp ecoou esses comentários e disse que é particularmente interessante que o malware esteja sendo compilado e tendo como alvo todos os três principais sistemas operacionais.

“A maioria do valor do malware tende a ser somente para Windows devido à ampla base de instalação e à segurança mais fraca do sistema operacional”, disse Lopp. “No caso do Bitcoin, os autores de malware podem argumentar que muitos dos primeiros usuários são pessoas mais técnicas que executam Linux.”

Como funciona

Para atrair vítimas, os invasores do ElectroRat criaram três domínios e aplicativos diferentes operando em vários sistemas operacionais.

As páginas para baixar os aplicativos foram criadas especificamente para essa operação e projetadas para se parecerem com entidades legítimas.

Os aplicativos associados atraem e miram especificamente em usuários de Criptomoeda . “Jamm” e “eTrade” são aplicativos de gerenciamento de negociações; “DaoPoker” é um aplicativo de pôquer que usa Criptomoeda.

Usando perfis de usuários e mídias sociais falsos, além de pagar um influenciador de mídia social por sua publicidade, o invasor divulgou os aplicativos, inclusive promovendo-os em fóruns direcionados de Criptomoeda e blockchain, como conversa sobre bitcoin e SteemCoinPan. As postagens incentivavam os leitores a acessar sites com aparência profissional e baixar os aplicativos quando, na realidade, eles também estavam baixando o malware.

Por exemplo, a página do Twitter do DaoPoker tinha 417 seguidores, enquanto um anunciante de mídia social com mais de 25.000 seguidores no Twitter promovia o eTrade. No momento em que este artigo foi escrito, oPágina do Twitter do DaoPokerainda está ativo.

Embora os aplicativos pareçam legítimos à primeira vista no front-end, eles estão executando atividades nefastas em segundo plano, mirando as carteiras de Criptomoeda dos usuários. Eles também ainda estão ativos.

Veja também:Ataque de phishing ‘convincente’ tem como alvo usuários da carteira de hardware Ledger

“Os hackers querem obter sua Criptomoeda e estão dispostos a ir longe com isso – gastar meses de trabalho para criar empresas falsas, reputações falsas e aplicativos aparentemente inocentes que escondem malware para roubar suas moedas”, disse Mechtinger.

O que ele faz

“O ElectroRAT tem vários recursos”, disse Mechtinger em um e-mail. “Ele pode tirar capturas de tela, logs de chaves, carregar pastas/arquivos da máquina de uma vítima e muito mais. Após a execução, ele estabelece comandos com seu servidor de comando e controle e aguarda pelos comandos.”

O relatório sugere que o malware tem como alvo específico usuários de Criptomoeda com o propósito de atacar suas carteiras de Cripto , observando que as vítimas foram observadas comentando em postagens relacionadas ao popular aplicativo de carteira Ethereum Metamask. Com base nas observações dos pesquisadores sobre os comportamentos do malware, é possível que mais de 6,5 mil pessoas tenham sido comprometidas.

Como evitar isso

O primeiro passo é o melhor passo e não é baixar nenhum desses aplicativos, ponto final.

Em geral, quando você estiver procurando por novos aplicativos, Lopp sugere evitar sites e fóruns obscuros. Instale apenas softwares que sejam bem conhecidos e devidamente revisados; procure aplicativos com históricos de reputação longos e bases de instalação consideráveis.

“T use carteiras que armazenem as chaves privadas no seu laptop/desktop; as chaves privadas devem ser armazenadas em dispositivos de hardware dedicados”, disse Lopp.

Veja também:Como armazenar seu Bitcoin

Este ponto reforça a importância de armazenar suas Cripto em carteiras de hardware frias e anotar frases-semente em vez de apenas armazená-las em seu computador. Ambas as técnicas as tornam inacessíveis a malware que trollam sua atividade online.

Há medidas secundárias que podem ser tomadas se você acha que seu computador já pode ter sido comprometido.

“Para garantir que você não esteja infectado, recomendamos que você tome medidas proativas e escaneie seus dispositivos em busca de atividades maliciosas”, disse Mechtinger.

No relatório, Mechtinger sugere que se você acha que é vítima desse golpe, você precisa matar os processos em execução e excluir todos os arquivos relacionados ao malware. Você também precisa ter certeza de que sua máquina está limpa e executando código não malicioso. O Intezer criouScanner de ponto finalpara ambientes Windows eIntezer Proteger, uma ferramenta comunitária gratuita para usuários Linux. Mais informações detalhadas sobre detecção podem ser encontradas no relatório original.

E, claro, você deve mover seus fundos para uma nova carteira de Cripto e alterar todas as suas senhas.

Um preço mais alto de Bitcoin atrai mais malware

Com o preço do Bitcoin continuando a subir, Mechtinger T vê ataques como esse diminuindo. Na verdade, eles provavelmente aumentarão.

“Há altos capitais em jogo, o que é clássico para hackers motivados financeiramente”, disse ela.

Lopp disse que veremos invasores dedicando cada vez mais recursos para criar novas maneiras de tirar as pessoas de suas chaves privadas.

“Embora um novo ataque exija muito mais esforço para ser desenvolvido, as recompensas também são potencialmente maiores porque é mais provável que engane as pessoas porque o conhecimento desse estilo de ataque não foi disseminado pela base de usuários”, disse ele. “Ou seja, as pessoas têm mais probabilidade de se expor ao ataque sem saber.”