ElectroRAT

Le boom du secteur de la crypto-monnaie qui a commencé il y a plusieurs années et qui se poursuit encore aujourd'hui devait attirer l'attention des pirates informatiques maléfiques. En effet, le nombre de menaces de logiciels malveillants déclenchées dans la nature au cours de l'année écoulée et ciblant les utilisateurs de crypto-monnaie montre principalement une croissance significative. Une autre tendance observable chez les cybercriminels est l'adoption croissante du langage de programmation Go. Par rapport au C, C ++ et C # déjà établi et plutôt traditionnel, l'utilisation de Go offre plusieurs avantages distincts. Le code malveillant écrit en Go est encore un peu meilleur pour éviter la détection. C'est plus difficile pour la rétro-ingénierie, et en raison de ses binaires plus faciles à compiler, les opérateurs malveillants peuvent rapidement mettre en place des menaces multi-plateformes.

L'une des dernières menaces qui entrent dans cette catégorie a été nommée ElectroRAT par les chercheurs info-sec d'Intezer Labs, qui l'ont détectée pour la première fois. ElectroRAT est équipé de nombreuses capacités intrusives orientées vers la récolte et l'exfiltration des données sensibles des appareils compromis. Il peut configurer des routines d'enregistrement de frappe, prendre des captures d'écran, exécuter des commandes arbitraires, télécharger des fichiers supplémentaires ou télécharger des fichiers sélectionnés dans un référentiel sous le contrôle des pirates. Malgré la multitude d'utilisations qu'une telle menace pourrait avoir, les chercheurs sont convaincus que l'objectif principal d'ElectroRAT était d'obtenir des adresses de portefeuille de crypto-monnaie, qui seront drainées par la suite. On estime que 6 500 utilisateurs ont été infectés par ElectroRAT. Le nombre était basé sur les heures d'accès à une URL Pastebin contenant l'adresse des serveurs de commande et de contrôle (C&C, C2) de la menace.

Bien qu'ElectroRAT ait été détecté en décembre 2020, on estime que la campagne menaçante dédiée à sa distribution a commencé au tout début de l'année, dans les premiers jours de janvier 2020. Les pirates ont créé trois fausses applications de crypto-monnaie distinctes nommées DaoPoker, Jamm et eTrade / Kintum pour porter le code d'ElectorRAT. DaoPoker se présentait comme une application de poker permettant l'utilisation de crypto-monnaies, tandis que les deux autres applications contenant des logiciels malveillants prétendaient être une plate-forme de commerce de crypto-monnaie facile à utiliser. Chaque application avait un site Web dédié mis en place pour cela - daopker.com, jamm.to et kintum.io. Les pirates ont créé des versions des trois applications pour chacune des plates-formes grand public - Windows, Mac et Linux. Les utilisateurs peu méfiants ont été dirigés vers les applications insidieuses et leurs sites Web corrompus dédiés par le biais de publicités publiées par les pirates sur différentes plates-formes de médias sociaux ainsi que sur des forums spécialisés en crypto-monnaie.

Les utilisateurs qui s'engagent activement avec la crypto-monnaie devraient commencer à être plus vigilants lorsqu'il s'agit de menaces de logiciels malveillants qui tentent d'intercepter, de récolter et d'exfiltrer des données privées sensibles de leurs appareils.

Tendance

Le plus regardé

Chargement...