Malware ElectroRAT multiplataforma dirigido a usuarios de criptomonedas

Investigadores de ciberseguridad revelaron hoy una estafa de gran alcance dirigida a usuarios de criptomonedas que comenzó en enero del año pasado a distribuir aplicaciones troyanizadas para instalar una herramienta de acceso remoto previamente no detectada en sistemas de destino.

Llamado ElectroRAT por Intezer, el RAT está escrito desde cero en Golang y diseñado para apuntar a múltiples sistemas operativos como Windows, Linux y macOS.

Las aplicaciones se desarrollan utilizando el marco de aplicaciones de escritorio multiplataforma de código abierto Electron.

«ElectroRAT es el último ejemplo de atacantes que usan Golang para desarrollar malware multiplataforma y evadir la mayoría de los motores antivirus», dijeron los investigadores.

«Es común ver varios ladrones de información tratando de recopilar claves privadas para acceder a las billeteras de las víctimas. Sin embargo, es raro ver herramientas escritas desde cero y dirigidas a múltiples sistemas operativos para estos fines».

Se cree que la campaña, detectada por primera vez en diciembre, se cobró más de 6500 víctimas según la cantidad de visitantes únicos a las páginas de Pastebin utilizadas para ubicar los servidores de comando y control (C2).

La «Operación ElectroRAT» involucró a los atacantes creando tres aplicaciones contaminadas diferentes, cada una con una versión de Windows, Linux, Mac, dos de las cuales se hacen pasar por aplicaciones de gestión de comercio de criptomonedas con el nombre de «Jamm» y «eTrade», mientras que una tercera aplicación llamada » DaoPoker «se hace pasar por una plataforma de póquer de criptomonedas.

Las aplicaciones maliciosas no solo están alojadas en sitios web creados específicamente para esta campaña, sino que los servicios también se anuncian en Twitter, Telegram y foros legítimos relacionados con criptomonedas y cadenas de bloques, como «bitcointalk» y «SteemCoinPan», en un intento de atraer a los usuarios desprevenidos. en la descarga de las aplicaciones contaminadas.

software malicioso de criptomonedas

Una vez instalada, la aplicación abre una interfaz de usuario de aspecto inofensivo cuando en realidad, ElectroRAT se ejecuta oculto en segundo plano como «mdworker», que viene con capacidades intrusivas para capturar pulsaciones de teclas, tomar capturas de pantalla, cargar archivos desde el disco, descargar archivos arbitrarios y ejecutar comandos maliciosos recibidos del servidor C2 en la máquina de la víctima.

Curiosamente, un análisis de las páginas de Pastebin, que fueron publicadas por un usuario llamado «Execmac» el 8 de enero de 2020, y las publicadas por el mismo usuario antes de la campaña encontraron servidores C2 utilizados junto con malware de Windows como Amadey y KPOT, lo que sugiere que los atacantes han pasado de usar troyanos conocidos a una nueva RAT capaz de apuntar a múltiples sistemas operativos.

«Otro factor de motivación es que se trata de un malware Golang desconocido, que ha permitido que la campaña pase desapercibida durante un año al evadir todas las detecciones de antivirus», dijeron los investigadores.

Se insta a los usuarios que han sido víctimas de esta campaña a que eliminen el proceso, eliminen todos los archivos relacionados con el malware, transfieran los fondos a una nueva billetera y cambien sus contraseñas.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática