Lord777
Professional
- Messages
- 2,579
- Reaction score
- 1,471
- Points
- 113
ElectroRAT был написан с нуля и, вероятно, устанавливался тысячами.
Стремительный рост стоимости криптовалюты побивал все рекорды за последние несколько лет, превращая людей с некогда скромными активами в мгновенных миллионеров. Одна решительная группа преступников попыталась присоединиться к партии, используя широкомасштабную операцию, которая в течение последних 12 месяцев использовала полноценную маркетинговую кампанию по распространению специально созданного вредоносного ПО, написанного с нуля для устройств Windows, macOS и Linux.
Согласно отчету, опубликованному охранной фирмой Intezer, операция, которая началась как минимум с января 2020 года, не щадила усилий для кражи адресов кошельков ничего не подозревающих держателей криптовалюты. Схема включает три отдельных троянских приложения, каждое из которых работает в Windows, macOS и Linux. Он также полагается на сеть поддельных компаний, веб-сайтов и профилей в социальных сетях, чтобы завоевать доверие потенциальных жертв.
Необычно скрытный
Приложения представляют собой безобидное программное обеспечение, которое полезно держателям криптовалюты. Внутри спрятан троян удаленного доступа, написанный с нуля. После установки приложения ElectroRAT - как Intezer назвала бэкдор - позволяет злоумышленникам регистрировать нажатия клавиш, делать снимки экрана, выгружать, скачивать и устанавливать файлы, а также выполнять команды на зараженных машинах. В подтверждение их скрытности фальшивые криптовалютные приложения остались незамеченными всеми основными антивирусными продуктами.
«Очень редко можно увидеть RAT, написанный с нуля и используемый для кражи личной информации пользователей криптовалюты», - написали исследователи в отчете Intezer. «Еще реже можно увидеть такую широкомасштабную и целевую кампанию, которая включает в себя различные компоненты, такие как поддельные приложения и веб-сайты, а также маркетинговые / рекламные усилия через соответствующие форумы и социальные сети».
Рекламное объявление
Три приложения, которые использовались для заражения целей, назывались «Jamm», «eTrade» и «DaoPoker». Первые два приложения утверждали, что это платформа для торговли криптовалютой. Третьим было покерное приложение, в котором можно было делать ставки в криптовалюте.
Мошенники использовали поддельные рекламные кампании на форумах, посвященных криптовалюте, таких как bitcointalk и SteemCoinPan. Рекламные акции, опубликованные поддельными пользователями социальных сетей, привели к одному из трех веб-сайтов, по одному для каждого из доступных троянских приложений. ElectroRAT написан на языке программирования Go.
На изображении ниже представлена операция и различные части, которые она использовала для нацеливания на пользователей криптовалюты:
Отслеживание Execmac
ElectroRAT использует страницы Pastebin, опубликованные пользователем с именем «Execmac», чтобы найти свой командно-управляющий сервер. Страница профиля пользователя показывает, что с января 2020 года страницы получили более 6700 просмотров. Intezer считает, что количество обращений примерно соответствует количеству инфицированных.
Фирма безопасности сообщила, что Execmac в прошлом был связан с троянами Windows Amadey и KPOT, которые можно купить на подпольных форумах.
«Причина этого [изменения] может заключаться в нацеливании на несколько операционных систем», - говорится в сообщении Intezer. «Еще одним мотивирующим фактором является неизвестная вредоносная программа Golang, которая позволила кампании оставаться незамеченной в течение года, уклоняясь от всех обнаружений антивируса».
Лучший способ узнать, заражены ли вы, - это поискать установку любого из трех приложений, упомянутых ранее. Сообщение Intezer также предоставляет ссылки, которые пользователи Windows и Linux могут использовать для обнаружения работы ElectroRAT в памяти. Зараженные люди должны вылечить свои системы, изменить все пароли и перевести средства в новый кошелек.
Стремительный рост стоимости криптовалюты побивал все рекорды за последние несколько лет, превращая людей с некогда скромными активами в мгновенных миллионеров. Одна решительная группа преступников попыталась присоединиться к партии, используя широкомасштабную операцию, которая в течение последних 12 месяцев использовала полноценную маркетинговую кампанию по распространению специально созданного вредоносного ПО, написанного с нуля для устройств Windows, macOS и Linux.
Согласно отчету, опубликованному охранной фирмой Intezer, операция, которая началась как минимум с января 2020 года, не щадила усилий для кражи адресов кошельков ничего не подозревающих держателей криптовалюты. Схема включает три отдельных троянских приложения, каждое из которых работает в Windows, macOS и Linux. Он также полагается на сеть поддельных компаний, веб-сайтов и профилей в социальных сетях, чтобы завоевать доверие потенциальных жертв.
Необычно скрытный
Приложения представляют собой безобидное программное обеспечение, которое полезно держателям криптовалюты. Внутри спрятан троян удаленного доступа, написанный с нуля. После установки приложения ElectroRAT - как Intezer назвала бэкдор - позволяет злоумышленникам регистрировать нажатия клавиш, делать снимки экрана, выгружать, скачивать и устанавливать файлы, а также выполнять команды на зараженных машинах. В подтверждение их скрытности фальшивые криптовалютные приложения остались незамеченными всеми основными антивирусными продуктами.
«Очень редко можно увидеть RAT, написанный с нуля и используемый для кражи личной информации пользователей криптовалюты», - написали исследователи в отчете Intezer. «Еще реже можно увидеть такую широкомасштабную и целевую кампанию, которая включает в себя различные компоненты, такие как поддельные приложения и веб-сайты, а также маркетинговые / рекламные усилия через соответствующие форумы и социальные сети».
Рекламное объявление
Три приложения, которые использовались для заражения целей, назывались «Jamm», «eTrade» и «DaoPoker». Первые два приложения утверждали, что это платформа для торговли криптовалютой. Третьим было покерное приложение, в котором можно было делать ставки в криптовалюте.
Мошенники использовали поддельные рекламные кампании на форумах, посвященных криптовалюте, таких как bitcointalk и SteemCoinPan. Рекламные акции, опубликованные поддельными пользователями социальных сетей, привели к одному из трех веб-сайтов, по одному для каждого из доступных троянских приложений. ElectroRAT написан на языке программирования Go.
На изображении ниже представлена операция и различные части, которые она использовала для нацеливания на пользователей криптовалюты:
Отслеживание Execmac
ElectroRAT использует страницы Pastebin, опубликованные пользователем с именем «Execmac», чтобы найти свой командно-управляющий сервер. Страница профиля пользователя показывает, что с января 2020 года страницы получили более 6700 просмотров. Intezer считает, что количество обращений примерно соответствует количеству инфицированных.
Фирма безопасности сообщила, что Execmac в прошлом был связан с троянами Windows Amadey и KPOT, которые можно купить на подпольных форумах.
«Причина этого [изменения] может заключаться в нацеливании на несколько операционных систем», - говорится в сообщении Intezer. «Еще одним мотивирующим фактором является неизвестная вредоносная программа Golang, которая позволила кампании оставаться незамеченной в течение года, уклоняясь от всех обнаружений антивируса».
Лучший способ узнать, заражены ли вы, - это поискать установку любого из трех приложений, упомянутых ранее. Сообщение Intezer также предоставляет ссылки, которые пользователи Windows и Linux могут использовать для обнаружения работы ElectroRAT в памяти. Зараженные люди должны вылечить свои системы, изменить все пароли и перевести средства в новый кошелек.
