新型 ElectroRAT 針對加密貨幣用戶進行廣泛攻擊

研究人員發現了一種以加密貨幣用戶為目標的大規模操作，該操作以前沒有被發現的名為ElectroRAT的多平臺RAT。

該運動于12月揭曉，但據專家稱，至少從2020年1月開始活躍。

這場活動似乎安排得很好，運營商開展了全面的營銷活動，采用了與定制加密貨幣相關的應用程序以及名為ElectroRAT的多平臺RAT。

“該活動包括：域注冊，網站，特洛伊木馬程序，偽造的社交媒體帳戶和一個新的未被檢測到的RAT，我們將其命名為ElectroRAT。ElectroRAT用Golang編寫，并針對多種操作系統進行了編譯：Windows，Linux和MacOS。” 讀取Intezer發布的分析。

ElectroRAT用Golang編寫，對用于定位C2服務器的Pastebin頁面的唯一訪問者數量的分析表明，它已經感染了數千名受害者。

作為此次活動的一部分，攻擊者開發了三種不同的惡意應用程序，即加密貨幣交易管理應用程序“ Jamm ”和“ eTrade ”，以及加密貨幣撲克應用程序“ DaoPoker ”。

每個應用程序都有Windows，Linux和Mac版本，其二進制文件托管在為此活動專門設置的網站上。

上述應用中cryptocurrency和blockchain相關的論壇，包括被標榜bitcointalk 和 SteemCoinPan。

攻擊者還為“ DaoPoker ”應用程序創建了Twitter和Telegram配置文件，并請付費社交媒體影響者來宣傳該應用程序。

一旦受害者運行了該應用程序，將打開一個無辜的GUI，而ElectroRat在后臺隱藏為“ mdworker”。

在受害者計算機上啟動應用程序后，它們將顯示一個前臺用戶界面，旨在將受害者的注意力從惡意的ElectroRAT后臺進程中轉移出來。

惡意應用程序和ElectroRAT二進制文件在VirusTotal中的檢測率較低。

“ ElectroRAT具有極強的侵入性。它具有各種功能，例如鍵盤記錄，截屏，從磁盤上載文件，下載文件以及在受害者的控制臺上執行命令。該惡意軟件的Windows，Linux和MacOS變體具有類似的功能。” 繼續變體。

該惡意軟件能夠從受害者的錢包中竊取所有資金。

在計算機上執行Jamm，eTrade或DaoPoker應用程序的用戶應終止相關進程并刪除所有關聯文件。

“看到RAT從頭開始編寫并用于竊取加密貨幣用戶的個人信息是非常罕見的。如此少見的，針對性強的活動包括假冒應用程序/網站和通過相關論壇和社交媒體進行的營銷/促銷活動等各種組成部分，更加罕見。”

“ ElectroRAT是攻擊者使用Golang開發多平臺惡意軟件的最新示例。” Intezer總結。