Alors que le Bitcoin et d'autres crypto-monnaies atteignent à nouveau des niveaux records, un groupe de cybercriminels travaille depuis 12 mois sur une campagne marketing qui utilise des logiciels malveillants personnalisés pour voler le contenu des crypto-monnaies des utilisateurs. L'opération a été découverte par Intezer Labs et est active depuis janvier de l'année dernière. Le malware personnalisé pour les appareils Windows, macOS et Linux est distribué via trois applications distinctes, et les cybercriminels responsables ont également utilisé un réseau de fausses entreprises, sites Web et profils de réseaux sociaux pour tromper les utilisateurs sans méfiance. Les applications utilisées dans l'opération incluent « Jamm », « eTrade » et « DaoPoker ». Alors que les deux premières applications prétendaient être des plateformes de trading de cryptomonnaies, la troisième était une application de poker permettant aux utilisateurs de placer des paris en utilisant des cryptomonnaies.
ÉlectroRAT
Une fois qu'un utilisateur installe l'une des applications en question sur ses appareils, un cheval de Troie d'accès à distance (RAT) nommé ElectroRAT par Entreter sert de porte dérobée permettant aux cybercriminels d'enregistrer les frappes au clavier. les utilisateurs, prennent des captures d'écran, téléchargent, téléchargent et installent des fichiers sur leurs systèmes et exécutent des commandes. Au crédit des cybercriminels, les trois applications n'ont pas été détectées par le logiciel antivirus. Le chercheur en sécurité Avigayil Mechtinger d'Intezer a fourni des informations supplémentaires sur l'opération et les logiciels malveillants personnalisés utilisés par les cybercriminels dans un nouveau rapport, déclarant : « Il est très rare de voir un RAT écrit à partir de zéro et utilisé pour voler des informations personnelles aux utilisateurs de cryptomonnaie. Il est encore plus rare de voir une campagne aussi vaste et ciblée comprenant plusieurs éléments tels que de fausses applications/sites Web et des efforts de marketing/promotion via des forums et des réseaux sociaux pertinents. "Pour localiser son serveur de commande et de contrôle, ElectroRAT utilise les pages Pastebin publiées par un utilisateur qui porte l'identifiant "Execmac". Selon le profil d'Execmac, ces pages ont reçu plus de 6.700 XNUMX visites depuis le début de l'opération en janvier de l'année dernière et Intezer estime que ces pages vues correspondent au nombre de personnes infectées par ElectroRAT. Si l'une des trois fausses applications est installée sur vos systèmes, il est fortement recommandé de la supprimer immédiatement et vous pouvez utiliser l'outil d'analyse Intezer pour vérifier s'il y a sont des traces d'ElectroRAT en mémoire sous Windows ou Linux. Via Ars Technica