ElectroRAT, il malware che sta svuotando i wallet di criptovalute

ElectroRAT, il malware che sta svuotando i wallet di criptovalute

I malintenzionati stanno prendendo di mira da mesi i possessori di wallet di criptovalute con ElectroRAT. I ricercatori di Intezer hanno scoperto app false per la gestione delle valute digitali accompagnate da questo malware scritto in linguaggio Go.

di pubblicata il , alle 08:01 nel canale Sicurezza
 

I ricercatori di sicurezza di Intezer hanno scoperto un nuovo RAT (remote access trojan) che mira a svuotare i wallet di criptovalute di migliaia di utenti Windows, Linux e macOS. ElectroRAT, questo il nome della nuova minaccia, è stato scoperto solo nelle ultime settimane, a dicembre, ma era già attivo dall'inizio del 2020.

Per sviluppare ElectroRAT è stato usato il linguaggio di programmazione Go, che sta diventando popolare tra gli autori di malware per diversi aspetti, tra cui l'analisi più complicata rispetto ai malware scritti in C, C++ o C# e la possibilità di compilare facilmente binari per diverse piattaforme più facilmente e attaccare più utenti.

I malintenzionati che hanno sviluppato ElectroRAT l'hanno inserito all'interno di applicazioni Electron (un framework per sviluppare app) create ad hoc fatte per sembrare veri e propri strumenti per la gestione dei portafogli di criptovalute, ma non solo. Le app "fake" sono state chiamate Jamm, eTrade/Kintum e DaoPoker, ospitate su siti web dedicati agli indirizzi jamm.to, kintum.io e daopker.com.

Le prime due app app si proponevano come semplici piattaforme per lo scambio di criptovalute, mentre la terza era un'applicazione di poker. I ricercatori hanno ricostruito che, per diffondere le app, i malintenzionati hanno pubblicato inserzioni su forum di nicchia legati alle criptovalute (bitcointalk e SteemCoinPan) e si sono avvalsi dei social network (Twitter e Telegram).

Le app malevoli mostrano all'utente un'interfaccia pensata per distoglierne l'attenzione dal funzionamento dannoso in background di ElectroRAT. Le app sono state scaricate da migliaia di volte tra il gennaio e il dicembre 2020, circa 6500 in base a una pagina Pastebin usata dal malware per recuperare gli indirizzi dei server di comando e controllo (C2).

"L'app trojan e i binari di ElectroRAT sono poco rilevati o passano completamente inosservati in VirusTotal al momento della stesura di questo documento", hanno affermato i ricercatori di Intezer. L'obiettivo di svuotare i wallet di criptovalute non è però l'unico, in quanto ElectroRAT ha funzioni anche di "keylogger, acquisisce schermate, carica file dal disco, scarica file ed esegue comandi sulla console del malcapitato".

"È molto raro vedere un RAT scritto da zero e usato per rubare informazioni personali degli utenti di criptovalute", conclude Intezer. "È ancora più raro vedere una campagna così ampia e mirata che include vari componenti, come app e siti web falsi e iniziative di marketing / promozione tramite forum e social media pertinenti".

Nel caso di infezione è necessario chiudere subito i processi delle app in questione e rimuovere tutti i file dal sistema. Inoltre, nel caso i wallet di criptovalute non fossero già stati svuotati, sarebbe saggio trasferire i fondi in un nuovo wallet e cambiare tutte le password del sistema il prima possibile. Ulteriori dettagli potete trovarli nell'articolo sul blog di Intezer.

2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Gringo [ITF]07 Gennaio 2021, 17:28 #1
..... che cariiiiino.
davide311210 Gennaio 2021, 23:51 #2
Si, ma al di là di svuotare i portafogli, una volta bucata la blobkchain abbiamo l'effetto domino su tutte le derivate e quindi ciao ciao, anzi, ciaone... come volevasi dimostrare.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^