ElectroRAT aprovecha el auge de Bitcoin para robar criptomonedas

Los ciberdelincuentes han estado ejecutando una operación sofisticada para robar criptomonedas de víctimas desprevenidas atrayéndolas a plataformas de intercambio falsas y utilizando una herramienta de acceso remoto (RAT) creada desde cero para acceder a sus billeteras.

La campaña, que ha estado activa durante un año, incluye registros de dominios, sitios web, aplicaciones maliciosas, cuentas de redes sociales falsas y una herramienta de acceso remoto (RAT) no detectada anteriormente denominada ElectroRAT, según los investigadores de Intezer Labs.

Los piratas informáticos detrás de la operación han estado atrayendo a los usuarios de criptomonedas para que se unan a tres aplicaciones llamadas Jamm, eTrade y DaoPoker, cargadas con ElectroRAT, promocionándolas en foros populares como bitcointalk. Los usuarios falsos han estado enviando publicaciones promocionales, mientras que las aplicaciones también obtuvieron presencia en línea a través de la creación de cuentas falsas de Twitter y Telegram.

Una vez que cualquiera de estas aplicaciones se instala en la máquina de la víctima, ElectroRAT se usa para recopilar claves privadas para acceder a las billeteras de las víctimas y robar criptomonedas, como Bitcoin, que recientemente ha disfrutado de un auge significativo.

Esta herramienta está escrita en Golang y compilada para apuntar a sistemas operativos populares, incluidos Windows, Linux y macOS, reveló la firma de seguridad al enterarse de la existencia de la operación en diciembre.

"Es muy poco común ver una RAT escrita desde cero y utilizada para robar información personal de los usuarios de criptomonedas", dijo el investigador de seguridad de Intezer Labs, Avigayil Mechtinger.

"Es aún más raro ver una campaña tan amplia y dirigida que incluya varios componentes, como aplicaciones/sitios web falsos y esfuerzos de marketing/promoción a través de foros relevantes y redes sociales".

Una vez que las aplicaciones se ejecutan, se abre una interfaz gráfica de usuario (GUI) y ElectroRAT comienza a funcionar en segundo plano como "mdworker". Esto es difícil de detectar por el software antivirus debido a la forma en que se escriben los archivos binarios.

Sin embargo, el malware es extremadamente intrusivo y tiene varias capacidades, incluido el registro de teclas, tomar capturas de pantalla, cargar archivos desde el disco, descargar archivos y ejecutar comandos. Estas funciones son aproximadamente las mismas en las tres variantes de Windows, Linux y macOS.

Machtinger agregó que la campaña refleja la creciente importancia del mercado de criptomonedas, liderado por el reciente cargo de Bitcoin. La criptomoneda convencionalmente volátil ha estado aumentando en los últimos meses, con su valor explotando últimamente para cruzar el umbral de $ 35,000 (aproximadamente £ 25,000) en el momento de escribir este artículo. Como tal, atrae a los ciberdelincuentes con la esperanza de explotar esto para obtener ganancias financieras.

La campaña ElectroRAT ya ha afectado a más de 6.500 usuarios, según el número de visitantes a las páginas de pastebin utilizadas para ubicar los servidores de comando y control.

Intezer Labs ha recomendado que las víctimas tomen medidas para protegerse de inmediato. Este proceso de mitigación incluye eliminar el proceso, eliminar todos los archivos relacionados con el malware, transferir fondos a una nueva billetera y cambiar todas las contraseñas.