В прошлом году программы-вымогатели атаковали пользователей нескольких приложений и украли из их кошельков сотни биткоинов.
Крыса ищет биткоины
Согласно отчету компании по безопасности Bleeping Computer, новая ошибка, выявленная исследователями и имитирующая программу криптовалюты, за последний год затронула тысячи пользователей.
Operation #ElectroRAT
Already thousands of crypto wallets stolen. Extensive campaign includes written from scratch RAT hidden in trojanized applications.
Windows, Linux and macOS samples undetected in VirusTotalhttps://t.co/KyBqPhZ0jW pic.twitter.com/iba6GEZ67r
— Intezer (@IntezerLabs) January 5, 2021
Вирус под названием «ElectroRAT», поражающий приложения Electron, представляет собой троян удаленного доступа (RAT), обнаруженный в декабре 2020 года и атакующий пользователей Windows, Linux и macOS.
После заражения вирус отключает функции приложений и позволяет им работать либо как приложение для криптовалютной торговли (Jamm и eTrade), либо как приложение для крипто-покера (DaoPoker). Когда ничего не подозревающий пользователь обращается к одному из этих приложений, появляется фальшивый интерфейс, а ElectroRAT работает в фоновом режиме.
Это работает следующим образом: вредоносная программа заражает компьютер жертвы, выполняет кейлоггинг, делает снимки экрана, выгружает файлы с жесткого диска жертвы, загружает другие важные файлы и выполняет команды на консоли жертвы. Затем она может получить доступ и передать все сохраненные криптовалюты, которые найдет.
Чтобы заманить большее количество жертв в ловушку, такие «троянизированные» приложения рекламировались в различных социальных сетях, таких как Twitter и других приложениях для обмена сообщениями или форумах, популярных среди пользователей криптографии, таких как: Bitcointalk и Telegram.
Более 6500 случаев
Intezer, компания по безопасности, которая первой обнаружила вирус, заявила в своем официальном отчете, что приложения были явно загружены жертвами в период с января по декабрь 2020 года. Кроме того, одна из страниц Pastebin, используемых ElectoRAT для доступа к серверу Command-and-Control (C2) – или серверу, который помогает мошеннику управлять ботнетом и отправлять вредоносные команды его участникам – просмотрено более 6500 раз за этот период.
Тем временем Intezer советует пользователям этих приложений – Jamm, eTrade или DaoPoker – удалить все связанные файлы из своих систем и «убить» их процессы с помощью инструментов администратора. Intezer рекомендует пользователям, чьи криптовалюты еще не украдены немедленно перевести все BTC на другой биткоин-кошелек .
