A medida que Bitcoin y otras criptomonedas volvieron a alcanzar niveles récord, un grupo de ciberdelincuentes ha estado trabajando durante 12 meses en una campaña de marketing que utiliza malware personalizado para robar contenido de las criptomonedas de los usuarios.
La operación fue descubierta por Intezer Labs y ha estado activa desde enero del año pasado.
El malware personalizado para dispositivos Windows, macOS y Linux se distribuye a través de tres aplicaciones independientes, y los ciberdelincuentes responsables también han utilizado una red de empresas, sitios web y perfiles de redes sociales falsos para engañar a los usuarios desprevenidos.
Las aplicaciones utilizadas en la operación incluyen "Jamm", "eTrade" y "DaoPoker". Si bien las dos primeras aplicaciones afirmaron ser plataformas de comercio de criptomonedas, la tercera era una aplicación de póquer que permitía a los usuarios realizar apuestas utilizando la criptomoneda.
ไฟฟ้า
Una vez que un usuario instala una de las aplicaciones en cuestión en sus dispositivos, un troyano de acceso remoto (RAT) que Entreter denominó ElectroRAT sirve como puerta trasera que permite a los ciberdelincuentes registrar las pulsaciones de teclas. usuarios, toman capturas de pantalla, cargan, descargan e instalan archivos en sus sistemas y ejecutan comandos. Para crédito de los ciberdelincuentes, las tres aplicaciones no fueron detectadas por el software antivirus.
El investigador de seguridad Avigayil Mechtinger de Intezer proporcionó información adicional sobre la operación y el malware personalizado utilizado por los ciberdelincuentes en un nuevo informe, diciendo:
“Es muy raro ver un RAT escrito desde cero y utilizado para robar información personal de usuarios de criptomonedas. Es aún más raro ver una campaña tan grande y dirigida que incluye varios componentes, como aplicaciones / sitios web falsos y esfuerzos de marketing / promoción a través de foros relevantes y redes sociales. "
Para ubicar su servidor de comando y control, ElectroRAT utiliza páginas Pastebin publicadas por un usuario que pasa por el identificador "Execmac". Según el perfil de Execmac, estas páginas han recibido más de 6.700 visitas desde que comenzó la operación en enero del año pasado e Intezer estima que estas páginas vistas corresponden a la cantidad de personas infectadas con ElectroRAT.
Si alguna de las tres aplicaciones falsas está instalada en sus sistemas, se recomienda encarecidamente que las elimine inmediatamente y que pueda usar la herramienta de escaneo de Intezer para verificar si hay rastros de ElectroRAT en la memoria en Windows o Linux.
Vía Ars Technica