Nuevo malware multiplataforma apunta a usuarios de criptomonedas
Un nuevo troyano de acceso remoto RAT que se utiliza para vaciar las carteras de criptomonedas de miles de usuarios, fue descubierto este pasado mes de diciembre por la firma de seguridad Intezer Labs.
Nombrado como ElectroRAT, los investigadores de seguridad sostienen que, el malware RAT multiplataforma está escrito en Golang, y se usó como parte de una campaña que se ha dirigido a miles de usuarios de criptomonedas, con la finalidad de vaciar los fondos de las carteras de usuarios de Windows, Linux y macOs.
La campaña se descubrió el pasado mes de diciembre de 2020, pero la firma destaca que, se trata de una operación encubierta de malware de un año, en la que los piratas cibernéticos, crearon aplicaciones de criptomonedas falsas para engañar a los usuarios para que instalen una nueva cepa de malware en su sistemas, por lo que estiman que el malware se comenzó a difundir a inicios del mes de enero del pasado año 2020.
Los atacantes cibernéticos detrás de la operación ElectroRAT, crearon e inyectan su RAT en aplicaciones Electron personalizadas diseñadas para verse y comportarse como herramientas de gestión de comercio de criptomonedas (Jamm y eTrade) y como una aplicación de póquer de criptomonedas (DaoPoker) las cuales llegaron en versiones de Windows, Mac y Linux.
Miles de usuarios infectados
Una vez iniciada la sesión en la computadora de la víctima, explican los expertos en seguridad de Intezer Labs, estas aplicaciones mostrarían una interfaz de usuario en primera instancia para desviar la atención de las víctimas del proceso malicioso y en segundo plano ElectroRAT.
Asimismo, consideran que, el malware se estaba utilizando para extraer claves de billeteras de criptomonedas y luego desaguar las cuentas de las víctimas.
El nuevo malware ElectroRAT, es extremadamente invasivo, con una gran variedad de capacidades compartidas por sus variantes de Windows, Linux y MacOS, que incluyen como “el registro de teclas, captura de pantalla, carga de archivos desde el disco, descarga de archivos y ejecución de comandos en la consola de la víctima”, según señalan los investigadores.
“Es muy poco común ver un RAT escrito desde cero y utilizado para robar información personal de los usuarios de criptomonedas” (…) “ Es aún más raro ver una campaña tan amplia y dirigida que incluye varios componentes, como aplicaciones y sitios web falsos, y esfuerzos de marketing/ promoción a través de foros y redes sociales relevantes”, concluye Intezer Labs.
Para difundir las aplicaciones y atraer a las potenciales víctimas, los actores de amenazas, promovieron las aplicaciones troyanizadas en las redes sociales, a través de anuncios en distintas redes sociales y en foros en líneas relacionados con criptomonedas y cadenas de bloques como, bitcointalk y SteemCoinPan, según lo indicó la firma de seguridad.
Tales aplicaciones fueron descargadas por miles de usuarios entre los meses de enero y diciembre de 2020, y debido a una característica en el diseño del malware, se recuperó la dirección de su servidor de comando y control URL de Pastebin, que a opinión de Intezer Labs, esta operación infectó a 6.500 usuarios a lo largo de año.
También resaltó la firma que, “la aplicación troyanizada y los binarios de ElectroRAT se detectan poco, o por el contrario, no se logran detectar por completo en VirusTotal en el momento de escribir este artículo”, afirmó.
Cabe destacar que, Intezer Labs, proporciona esta regla Yara que puede detectar cualquier artefacto en memoria de ElectroRAT. También menciona el hecho de que, este malware se escribió en Go, un lenguaje de programación que poco a poco ha crecido en popularidad entre los autores de malware el año pasado, debido a que permite a los operadores recolectar fácilmente binarios para distintas plataformas de manera más fácil que otros lenguajes, permitiéndoles a los mismos, crear malware multiplataforma de una manera más sencilla y rápida.
Sigue leyendo: