Diese schwer fassbare Malware zielt seit einem Jahr auf Crypto Wallets ab

Die heimtückische Malware ElectroRAT ist seit einem Jahr in Betrieb und bringt 2020 in das Jahr 2021 und zielt auf Krypto-Geldbörsen ab.

Ein Forscher des Cybersicherheitsunternehmens Intezer hat identifiziert und dokumentiert das Innenleben von ElectroRAT, das die Gelder der Opfer ins Visier genommen und aufgebraucht hat.

Laut dem Forscher Avigayil Mechtinger umfasst der Malware-Vorgang eine Reihe detaillierter Tools, die Opfer täuschen, darunter eine „Marketingkampagne, benutzerdefinierte Anwendungen im Zusammenhang mit Kryptowährungen und ein neues Remote Access Tool (RAT), das von Grund auf neu geschrieben wurde“.

Die Malware heißt ElectroRAT, da es sich um ein RAS-Tool handelt, das in Apps eingebettet ist, die darauf basieren Elektron, eine App-Plattform. Daher ElectroRAT.

"Es ist nicht überraschend, dass neuartige Malware veröffentlicht wird, insbesondere während eines Bullenmarkts, in dem der Wert der Kryptowährung steigt und solche Angriffe rentabler werden", sagte Jameson Lopp, Chief Technology Officer (CTO) beim Start von Crypto Custody Casa.

In den letzten Monaten Bitcoin und andere Kryptowährungen sind in einen Bullenmarkt eingetreten, und die Preise steigen in der gesamten Branche sprunghaft an.

ElectroRat-Malware ist in der Open-Source-Programmiersprache Golang geschrieben, die für plattformübergreifende Funktionen geeignet ist und auf mehrere Betriebssysteme wie MacOS, Linux und Windows abzielt.

Im Rahmen des Malware-Vorgangs haben die Angreifer laut Bericht „Domain-Registrierungen, Websites, trojanisierte Anwendungen und gefälschte Social-Media-Konten“ eingerichtet.

In dem Bericht stellt Mechtinger fest, dass Angreifer zwar häufig versuchen, private Schlüssel für den Zugriff auf die Brieftaschen von Personen zu sammeln, Original-Tools wie ElectroRAT und die verschiedenen Apps, die „von Grund auf neu“ geschrieben wurden und auf mehrere Betriebssysteme abzielen, jedoch nur selten zu sehen sind.

"Durch das Schreiben der Malware von Grund auf konnte die Kampagne fast ein Jahr lang unter dem Radar fliegen, indem alle Antiviren-Erkennungen umgangen wurden", schrieb Mechtinger in dem Bericht.

Lopp wiederholte diese Kommentare und sagte, es sei besonders interessant, dass die Malware für alle drei Hauptbetriebssysteme kompiliert wird und auf diese abzielt.

"Die Mehrheit der Malware ist aufgrund der breiten Installationsbasis und der schwächeren Sicherheit des Betriebssystems in der Regel nur für Windows bestimmt", sagte Lopp. "Im Fall von Bitcoin können Malware-Autoren argumentieren, dass viele Early Adopters eher technische Leute sind, die Linux ausführen."

Um Opfer anzulocken, haben die ElectroRat-Angreifer drei verschiedene Domänen und Apps erstellt, die auf mehreren Betriebssystemen ausgeführt werden.

Die Seiten zum Herunterladen der Apps wurden speziell für diesen Vorgang erstellt und so gestaltet, dass sie wie legitime Einheiten aussehen.

Die zugehörigen Apps richten sich speziell an Benutzer von Kryptowährungen und richten sich an diese. "Jamm" und "eTrade" sind Handelsmanagement-Apps. "DaoPoker" ist eine Poker-App, die Kryptowährung verwendet.

Mit gefälschten Social Media- und Benutzerprofilen sowie der Bezahlung eines Social Media-Influencers für ihre Werbung pumpte der Angreifer die Apps und bewarb sie in gezielten Kryptowährungs- und Blockchain-Foren wie Bitcointalk und SteemCoinPan. Die Beiträge ermutigten die Leser, sich die professionell aussehenden Websites anzusehen und die Apps herunterzuladen, wenn sie in Wirklichkeit auch die Malware herunterladen.

Beispielsweise hatte die DaoPoker-Twitter-Seite 417 Follower, während ein Social-Media-Werbetreibender mit über 25.000 Followern auf Twitter für eTrade wirbte. Zum Zeitpunkt des Schreibens ist die DaoPoker Twitter Seite ist noch live.

Während die Apps auf den ersten Blick im Front-End legitim aussehen, führen sie schändliche Hintergrundaktivitäten aus, die auf die Kryptowährungs-Wallets der Benutzer abzielen. Sie sind auch noch aktiv.

"Hacker wollen Ihre Kryptowährung erhalten und sind bereit, weit zu gehen. Sie müssen monatelang daran arbeiten, gefälschte Unternehmen, einen falschen Ruf und unschuldig aussehende Anwendungen zu schaffen, die Malware verbergen, um Ihre Münzen zu stehlen", sagte Mechtinger.

"ElectroRAT verfügt über verschiedene Funktionen", sagte Mechtinger in einer E-Mail. "Es können Screenshots, Schlüsselprotokolle, das Hochladen von Ordnern / Dateien vom Computer eines Opfers und vieles mehr erstellt werden. Bei der Ausführung erstellt es Befehle mit seinem Befehls- und Steuerungsserver und wartet auf Befehle. “

Dem Bericht zufolge zielt die Malware speziell auf Benutzer von Kryptowährungen ab, um ihre Krypto-Geldbörsen anzugreifen. Dabei wurde festgestellt, dass Opfer beim Kommentieren von Posts im Zusammenhang mit der beliebten Ethereum-Geldbörsen-App Metamask beobachtet wurden. Basierend auf den Beobachtungen der Forscher zum Verhalten der Malware ist es möglich, dass mehr als 6,5 Tausend Menschen kompromittiert wurden.

Der erste Schritt ist der beste Schritt. Sie müssen keine dieser Apps herunterladen, Punkt.

Wenn Sie nach neuen Apps suchen, empfiehlt Lopp im Allgemeinen, zwielichtige Websites und Foren zu vermeiden. Installieren Sie nur Software, die bekannt ist und ordnungsgemäß überprüft wurde. Suchen Sie nach Apps mit langjähriger Reputationshistorie und umfangreichen Installationsgrundlagen.

"Verwenden Sie keine Brieftaschen, in denen die privaten Schlüssel auf Ihrem Laptop / Desktop gespeichert sind. Private Schlüssel sollten auf dedizierten Hardwaregeräten gespeichert werden “, sagte Lopp.

Dieser Punkt unterstreicht die Wichtigkeit, Ihre Krypto in kalten Hardware-Geldbörsen zu speichern und Startphrasen aufzuschreiben, anstatt sie nur auf Ihrem Computer zu speichern. Beide Techniken machen sie für Malware unzugänglich, die Ihre Online-Aktivitäten trollt.

Es gibt sekundäre Schritte, die ausgeführt werden können, wenn Sie glauben, dass Ihr Computer bereits kompromittiert wurde.

"Um sicherzustellen, dass Sie nicht infiziert sind, empfehlen wir Ihnen, proaktive Maßnahmen zu ergreifen und Ihre Geräte auf böswillige Aktivitäten zu scannen", sagte Mechtinger.

In dem Bericht schlägt Mechtinger vor, dass Sie, wenn Sie glauben, Opfer dieses Betrugs zu sein, die laufenden Prozesse beenden und alle Dateien löschen müssen, die sich auf die Malware beziehen. Sie müssen auch sicherstellen, dass Ihr Computer sauber ist und nicht schädlichen Code ausführt. Intezer hat erstellt Endpunktscanner für Windows-Umgebungen und Intezer Protect, ein kostenloses Community-Tool für Linux-Benutzer. Weitere Informationen zur Erkennung finden Sie im Originalbericht.

Und natürlich sollten Sie Ihr Geld in eine neue Krypto-Brieftasche verschieben und alle Ihre Passwörter ändern.

Da der Preis für Bitcoin weiter steigt, sieht Mechtinger keine Verlangsamung dieser Angriffe. Tatsächlich werden sie wahrscheinlich zunehmen.

"Es stehen hohe Hauptstädte auf dem Spiel, was für finanziell motivierte Hacker ein Klassiker ist", sagte sie.

Lopp sagte, wir werden sehen, dass Angreifer immer mehr Ressourcen einsetzen, um neue Wege zu finden, um Menschen von ihren privaten Schlüsseln zu trennen.

"Während die Entwicklung eines neuartigen Angriffs viel größere Anstrengungen erfordert, sind die Belohnungen möglicherweise auch höher, da es wahrscheinlicher ist, dass Menschen getäuscht werden, weil das Wissen über diesen Angriffsstil nicht über die Nutzerbasis verbreitet wurde", sagte er. "Das heißt, die Menschen setzen sich eher unwissentlich dem Angriff aus."