محققان امنیت سایبری امروز یک کلاهبرداری گسترده را برای هدف قرار دادن کاربران ارزهای رمزپایه فاش کردند که از اوایل ژانویه سال گذشته برای توزیع برنامههای تروجان شده برای نصب یک ابزار دسترسی از راه دور غیرقابل شناسایی بر روی سیستمهای هدف آغاز شده است فاش کردند.
این RAT که ElectroRAT نامیده میشود در Golang نوشته شده و برای هدف قرار دادن چندین سیستمعامل مانند ویندوز، لینوکس و macOS طراحی شده است.
محققان گفتند: ElectroRAT آخرین نمونه از مهاجمانی است كه از Golang برای تولید بدافزار چند پلتفرمی و فرار از موتورهای آنتیویروس استفاده میكنند.
معمولاً مشاهده میشود كه سرقت کنندگان اطلاعات مختلف سعی در جمعآوری کلیدهای خصوصی برای دسترسی به کیف پول قربانیان دارند. با این وجود به ندرت میتوان ابزاری را از ابتدا نوشت و چندین سیستمعامل را برای این منظور هدف قرار داد.
“Operation ElectroRAT” شامل سه برنامه مختلف آلوده که هرکدام با نسخههای ویندوز، لینوکس و مک سازگار هستند و دو مورد از آنها به عنوان برنامههای مدیریت تجارت ارز رمزنگاری شده با نامهای “Jamm” و “eTrade” و برنامه سوم به نام ” DaoPoker “به عنوان یک پلتفرم پوکر رمزارز معرفی میشود.
این سرویسها در توییتر، تلگرام و انجمن مبادلات رمزنگاری قانونی و انجمنهای مرتبط با بلاکچین مانند “bitcointalk” و “SteemCoinPan” تبلیغ میشوند تا تلاش کنند کاربران بیخبر را فریب دهند.
هنگامی که برنامه نصب شد یک رابط کاربری ظاهرا بیضرر باز میکند، در حالی که ElectroRAT در پسزمینه بصورت “mdworker” پنهان اجرا میشود که دارای قابلیتهایی برای ضبط کلیدها، گرفتن عکس از صفحه، بارگذاری پروندهها از دیسک، بارگیری پروندههای دلخواه و دستورات مخرب دریافت شده از سرور C2 روی دستگاه قربانی میباشد.
محققان گفتند: عامل تحریک کننده دیگر این یک بدافزار ناشناخته Golang است که با فرار از تمام ردیابیهای آنتیویروس، به مدت یک سال به کمپین اجازه پرواز در زیر رادار را داده است.
از کاربرانی که قربانی این کمپین شدهاند خواسته میشود Process بدافزار را از بین ببرند، تمام پروندههای مربوط به بدافزار را حذف کنند و وجوه را به کیف پول جدید منتقل کنند و رمزهای عبور خود را تغییر دهند.
یک نظر