新型 ElectroRAT 针对加密货币用户进行广泛攻击

sugar 2021-01-06
专栏 - 资讯 发布于 2021-01-06 10:47:39 阅读 73 评论 0

研究人员发现了一种以加密货币用户为目标的大规模操作,该操作以前没有被发现的名为ElectroRAT的多平台RAT。

该运动于12月揭晓,但据专家称,至少从2020年1月开始活跃。

这场活动似乎安排得很好,运营商开展了全面的营销活动,采用了与定制加密货币相关的应用程序以及名为ElectroRAT的多平台RAT。

“该活动包括:域注册,网站,特洛伊木马程序,伪造的社交媒体帐户和一个新的未被检测到的RAT,我们将其命名为ElectroRAT。ElectroRAT用Golang编写,并针对多种操作系统进行了编译:Windows,Linux和MacOS。” 读取Intezer发布的分析。

ElectroRAT用Golang编写,对用于定位C2服务器的Pastebin页面的唯一访问者数量的分析表明,它已经感染了数千名受害者。

电鼠

作为此次活动的一部分,攻击者开发了三种不同的恶意应用程序,即加密货币交易管理应用程序“ Jamm ”和“ eTrade ”,以及加密货币扑克应用程序“ DaoPoker ”。

每个应用程序都有Windows,Linux和Mac版本,其二进制文件托管在为此活动专门设置的网站上。

上述应用中cryptocurrency和blockchain相关的论坛,包括被标榜bitcointalk 和 SteemCoinPan。

攻击者还为“ DaoPoker ”应用程序创建了Twitter和Telegram配置文件,并请付费社交媒体影响者来宣传该应用程序。

一旦受害者运行了该应用程序,将打开一个无辜的GUI,而ElectroRat在后台隐藏为“ mdworker”。

在受害者计算机上启动应用程序后,它们将显示一个前台用户界面,旨在将受害者的注意力从恶意的ElectroRAT后台进程中转移出来。

恶意应用程序和ElectroRAT二进制文件在VirusTotal中的检测率较低。

“ ElectroRAT具有极强的侵入性。它具有各种功能,例如键盘记录,截屏,从磁盘上载文件,下载文件以及在受害者的控制台上执行命令。该恶意软件的Windows,Linux和MacOS变体具有类似的功能。” 继续变体。

该恶意软件能够从受害者的钱包中窃取所有资金。

在计算机上执行Jamm,eTrade或DaoPoker应用程序的用户应终止相关进程并删除所有关联文件。

“看到RAT从头开始编写并用于窃取加密货币用户的个人信息是非常罕见的。如此少见的,针对性强的活动包括假冒应用程序/网站和通过相关论坛和社交媒体进行的营销/促销活动等各种组成部分,更加罕见。”

“ ElectroRAT是攻击者使用Golang开发多平台恶意软件的最新示例。” Intezer总结。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!