ElectroRAT explora o boom do Bitcoin para roubar criptomoedas

Os criminosos cibernéticos estão executando uma operação sofisticada para roubar criptomoedas de vítimas inocentes, atraindo-as para plataformas de câmbio falsas e usando uma ferramenta de acesso remoto (RAT) construída do zero para acessar suas carteiras.

A campanha, que está em execução há um ano, inclui registros de domínio, sites, aplicativos maliciosos, contas falsas de mídia social e uma ferramenta de acesso remoto (RAT) não detectada anteriormente chamada ElectroRAT, de acordo com pesquisadores do Intezer Labs.

Os hackers por trás da operação estão atraindo usuários de criptomoedas para participar de três aplicativos chamados Jamm, eTrade e DaoPoker, carregados com ElectroRAT, promovendo-os em fóruns populares como bitcointalk. Usuários falsos têm enviado postagens promocionais, enquanto os aplicativos também têm presença online por meio da criação de contas falsas no Twitter e no Telegram.

Uma vez que qualquer um desses aplicativos é instalado na máquina da vítima, o ElectroRAT é usado para coletar chaves privadas para acessar as carteiras das vítimas e roubar criptomoedas, como o Bitcoin, que recentemente teve um boom significativo.

Esta ferramenta é escrita em Golang e compilada para atingir sistemas operacionais populares, incluindo Windows, Linux e macOS, a empresa de segurança revelou ter sabido da existência da operação em dezembro.

“É muito incomum ver um RAT escrito do zero e usado para roubar informações pessoais de usuários de criptomoedas”, disse o pesquisador de segurança do Intezer Labs, Avigayil Mechtinger.

“É ainda mais raro ver uma campanha tão abrangente e direcionada que inclua vários componentes, como aplicativos/sites falsos e esforços de marketing/promocionais por meio de fóruns relevantes e mídias sociais.”

Uma vez que os aplicativos estão em execução, uma interface gráfica do usuário (GUI) é aberta e o ElectroRAT começa a trabalhar em segundo plano como “mdworker”. Isso é difícil de detectar pelo software antivírus devido à maneira como os binários são gravados.

No entanto, o malware é extremamente intrusivo e possui vários recursos, incluindo keylogging, capturas de tela, upload de arquivos do disco, download de arquivos e execução de comandos. Essas funções são praticamente as mesmas em todas as três variantes do Windows, Linux e macOS.

Machtinger acrescentou que a campanha reflete a crescente proeminência do mercado de criptomoedas – liderada pela recente cobrança do Bitcoin. A criptomoeda convencionalmente volátil vem crescendo nos últimos meses, com seu valor explodindo recentemente para cruzar o limite de US$ 35.000 (aproximadamente £ 25.000) no momento da redação deste artigo. Como tal, atraiu criminosos cibernéticos que esperam explorar isso para obter ganhos financeiros.

A campanha ElectroRAT já afetou mais de 6.500 usuários, com base no número de visitantes das páginas pastebin usadas para localizar os servidores de comando e controle.

A Intezer Labs recomendou que as vítimas tomem medidas para se protegerem imediatamente. Esse processo de mitigação inclui encerrar o processo, excluir todos os arquivos relacionados ao malware, transferir fundos para uma nova carteira e alterar todas as senhas.