Исследователи кибербезопасности обнаружили, что в течение года работало вредоносное ПО, которое нацелено на пользователей криптовалюты с помощью создания ряда поддельных приложений.
Фирма по безопасности Intezer Labs предупредила, что постоянно растущие цены на криптовалюту вызывают повышенную активность среди хакеров и злоумышленников, стремящихся к финансовой выгоде.Вредоносная программа распространялась в течение прошлого года, но была обнаружена только в декабре 2020 года.
Новый троян удаленного доступа (RAT), получивший название ElectroRAT, использовался для опустошения криптовалютных кошельков тысяч пользователей Windows, macOS и Linux, говорится в отчете.
Три приложения, связанных с криптовалютой, развернутые в ходе атаки – Jamm, eTrade/Kintum и DaoPoker – все были размещены на их собственных веб-сайтах.Первые два являются поддельными приложениями для торговли криптовалютой, а третье основано на азартных играх.
По мнению исследователей, вредоносное ПО ElectroRAT, спрятанное внутри этих приложений, чрезвычайно навязчиво;
“It has various capabilities such as keylogging, taking screenshots, uploading files from disk, downloading files, and executing commands on the victim’s console.”
После запуска на компьютере жертвы приложения показывают пользовательский интерфейс переднего плана, предназначенный для отвлечения внимания от вредоносных фоновых процессов.Приложения продвигались с использованием социальных сетей Twitter и Telegram в дополнение к форумам, основанным на криптовалюте, таким как Bitcointalk.
По оценкам Intezer Labs, кампания уже заразила «тысячи жертв», у которых были опустошены криптовалютные кошельки.Он добавил, что есть доказательства того, что некоторые жертвы, которые были скомпрометированы приложениями, использовали популярные криптовалютные кошельки, такие как MetaMask.
Вредоносная программа была написана на многоплатформенном языке программирования Golang, что затрудняет ее обнаружение.Фирма по безопасности заявила, что редко можно увидеть RAT, предназначенный для кражи личной информации пользователей криптовалюты, написанной с нуля, добавив;
“It is even rarer to see such a wide-ranging and targeted campaign that includes various components such as fake apps and websites, and marketing/promotional efforts via relevant forums and social media.”
В 2020 году было несколько случаев, когда поддельные версии законных приложений и расширений браузера, такие как MetaMask или Ledger, проникали на компьютеры жертв.Это может быть связано с массовой утечкой данных Ledger в середине декабря.
В сентябре 2020 года пользователи Coinbase стали жертвами нового вредоносного ПО для Android, распространяемого через Google Play Store.
