ElectroRAT exploite le boom du Bitcoin pour voler la crypto-monnaie

Les cybercriminels ont mené une opération sophistiquée pour voler la crypto-monnaie à des victimes sans méfiance en les attirant vers de fausses plates-formes d'échange et en utilisant un outil d'accès à distance (RAT) conçu à partir de zéro pour accéder à leurs portefeuilles.

La campagne, qui dure depuis un an, comprend des enregistrements de domaine, des sites Web, des applications malveillantes, de faux comptes de médias sociaux et un outil d'accès à distance (RAT) non détecté auparavant appelé ElectroRAT, selon les chercheurs d'Intezer Labs.

Les pirates à l'origine de l'opération ont incité les utilisateurs de crypto-monnaie à rejoindre trois applications nommées Jamm, eTrade et DaoPoker, chargées d'ElectroRAT, en les promouvant sur des forums populaires tels que bitcointalk. De faux utilisateurs ont soumis des messages promotionnels, tandis que les applications ont également obtenu une présence en ligne grâce à la création de faux comptes Twitter et Telegram.

Une fois que l'une de ces applications est installée sur la machine d'une victime, ElectroRAT est utilisé pour collecter des clés privées pour accéder aux portefeuilles des victimes et voler des crypto-monnaies, telles que Bitcoin, qui a récemment connu un boom important.

Cet outil est écrit en Golang et compilé pour cibler les systèmes d'exploitation populaires tels que Windows, Linux et macOS, la société de sécurité a révélé avoir appris l'existence de l'opération en décembre.

"Il est très rare de voir un RAT écrit à partir de zéro et utilisé pour voler des informations personnelles aux utilisateurs de crypto-monnaie", a déclaré Avigayil Mechtinger, chercheur en sécurité chez Intezer Labs.

"Il est encore plus rare de voir une campagne aussi vaste et ciblée qui comprend divers composants tels que de fausses applications/sites Web et des efforts de marketing/promotion via des forums et des réseaux sociaux pertinents."

Une fois les applications en cours d'exécution, une interface utilisateur graphique (GUI) s'ouvre et ElectroRAT commence à travailler en arrière-plan en tant que "mdworker". Ceci est difficile à détecter par un logiciel antivirus en raison de la façon dont les binaires sont écrits.

Cependant, le logiciel malveillant est extrêmement intrusif et possède diverses fonctionnalités, notamment l'enregistrement de frappe, la prise de captures d'écran, le téléchargement de fichiers à partir d'un disque, le téléchargement de fichiers et l'exécution de commandes. Ces fonctions sont à peu près les mêmes dans les trois variantes Windows, Linux et macOS.

Machtinger a ajouté que la campagne reflète l'importance croissante du marché de la crypto-monnaie - mené par la récente accusation de Bitcoin. La crypto-monnaie conventionnellement volatile a augmenté ces derniers mois, sa valeur explosant récemment pour franchir le seuil de 35 000 $ (environ 25 000 £) au moment de la rédaction. En tant que tel, il attire les cybercriminels qui espèrent l'exploiter à des fins financières.

La campagne ElectroRAT a déjà touché plus de 6 500 utilisateurs, sur la base du nombre de visiteurs des pages pastebin utilisées pour localiser les serveurs de commande et de contrôle.

Intezer Labs a recommandé aux victimes de prendre des mesures pour se protéger immédiatement. Ce processus d'atténuation comprend l'arrêt du processus, la suppression de tous les fichiers liés au logiciel malveillant, le transfert de fonds vers un nouveau portefeuille et la modification de tous les mots de passe.