Posté le janvier 6, 2021 à 14:38
UN NOUVEAU LOGICIEL MALVEILLANT APPELÉ « ELECTRORAT » EST DÉPLOYÉ POUR CIBLER LES UTILISATEURS DE CRYPTOMONNAIE
Les chercheurs en sécurité d’Intezer ont découvert une opération malveillante à grande échelle qui cible les utilisateurs de cryptomonnaie à l’aide d’un nouveau RAT appelé ElectroRAT.
Les chercheurs ont découvert cette opération le 4 décembre dernier, bien que l’opération soit active depuis janvier de l’année dernière, selon le rapport.
La campagne de logiciel malveillant semble sophistiquée et constitue une campagne de marketing à part entière utilisant des applications basées sur la cryptographie et le logiciel de rançon ElectroRAT.
ElecroRAT est écrit en langage Golang et conçu pour cibler différents systèmes d’exploitation, dont macOS, Linux et Windows, selon les chercheurs d’Intezer.
La technique d’attaque est rare
Les chercheurs ont également déclaré qu’il n’est pas rare de voir différents voleurs d’informations essayer de voler les clés privées des victimes pour accéder à leur portefeuille de cryptomonnaies. Mais ce qui leur semble peu courant, c’est que les acteurs de la menace construisent de nouveaux outils conçus à partir de zéro et utilisés pour cibler différents systèmes d’exploitation.
La plupart des outils sont conçus pour cibler un système d’exploitation spécifique et peuvent ne pas fonctionner pour d’autres systèmes. Cependant, les chercheurs ont été surpris que le nouvel outil ElectroRAT soit capable de cibler plusieurs systèmes d’exploitation, ce qui le rend très dangereux.
Le logiciel malveillant a des capacités opérationnelles cachées
Une fois que l’application malveillante est installée, elle crée une véritable interface utilisateur. Mais dans le vrai sens du terme, le logiciel malveillant ElectroRAT fonctionne en arrière-plan sans être remarqué comme « mdworker ». Il a la capacité intrusive de mettre en place des commandes malveillantes sur le système de la victime.
L’analyse des chercheurs a également révélé que les développeurs du logiciel malveillant sont allés au-delà de l’utilisation de chevaux de Troie populaires pour créer le nouveau RAT, capable de cibler plusieurs systèmes d’exploitation.
Autre élément intéressant : le logiciel malveillant Golang utilisé dans l’attaque n’a jamais été découvert auparavant. Par conséquent, les systèmes de sécurité peuvent ne pas savoir comment traiter le logiciel malveillant même s’il est découvert.
Le fait que le logiciel malveillant soit nouveau lui a permis de ne pas être détecté pendant plus d’un an et d’échapper à toute détection antivirus.
Les victimes sont invitées à supprimer tous les fichiers infectés par le logiciel malveillant
Les chercheurs ont demandé aux utilisateurs victimes de la campagne de logiciel malveillant de supprimer tous les fichiers affectés par le logiciel et d’arrêter tout le processus. Ils devraient également changer leurs mots de passe et déplacer les fonds à une autre adresse.
Selon Intezer Labs, les hackers ont utilisé trois fausses applications de cryptomonnaie pour mener à bien leur projet. Ces applications comprennent DaoPoker, eTrader et Jamm, qui étaient hébergées sur des sites dédiés à daopker[.]com, kintum[.]io et jamm[.]to respectivement.
La première application prétend être une application de poker utilisant la cryptomonnaie, tandis que les deux dernières prétendent offrir une plateforme simple pour la cryptomonnaie.
Chacune des fausses applications développées possède une version Mac, Linux et Windows dont les binaires sont hébergés sur des sites spécialement lancés pour la campagne de lutte contre le logiciel malveillant.
Les hackers ont même fait de la publicité pour les applications sur plusieurs chaînes de diffusion et forums de cryptomonnaie comme SteemCoinPan et bitcointalk.
Les hackers ont également créé des profils Telegram et Twitter pour l’application « DaoPoker » et ont employé un influenceur des médias sociaux pour promouvoir l’application sur les plateformes de médias sociaux.
Lorsque l’application s’infiltre dans l’ordinateur de la victime, son interface utilisateur en arrière-plan trompe la victime qui ne soupçonne pas qu’il s’agit d’un logiciel malveillant.
ElectroRAT a plusieurs capacités
Les chercheurs ont déclaré que le logiciel malveillant ElectroRAT est très intrusif et a différentes capacités sur l’ordinateur de la victime. Il peut exécuter des commandes sur la console de la victime, télécharger des fichiers, télécharger des fichiers depuis le disque, prendre des captures d’écran, ainsi que réaliser des activités d’enregistrement de frappe de clavier.
Le pire, c’est que le logiciel malveillant peut voler tous les fonds de n’importe quel portefeuille stocké sur l’ordinateur de la victime.
Les chercheurs d’Intezer Labs ont déclaré que les attaquants utilisent le logiciel malveillant pour vider les comptes des victimes en volant les clés de leur portefeuille de cryptomonnaie.
Des milliers d’utilisateurs ont déjà été infectés
Les chercheurs ont analysé les visiteurs uniques des pages Pastebin utilisées pour localiser les serveurs C2 et ont découvert que le logiciel malveillant avait déjà compromis des milliers de portefeuilles de victimes.
En raison de la particularité de la conception du logiciel malveillant, qui a accédé à l’adresse de son serveur de commande et de contrôle, les chercheurs pensent que les hackers ont déjà infecté plus de 6 000 utilisateurs, en se basant sur le nombre de fois qu’ils ont accédé aux URL de Pastebin.
Les chercheurs ont également conseillé aux utilisateurs de cryptomonnaie qui ont perdu leurs fonds mais qui n’ont pas pu identifier la source de la violation de vérifier s’ils ont installé l’une des trois applications malveillantes.
