Các nhà nghiên cứu an ninh mạng đã phát hiện ra một trojan truy cập từ xa (RAT) mới được sử dụng để làm rút cạn ví tiền điện tử của hàng nghìn người dùng Windows, Linux và macOS.
Được Intezer gọi là ElectroRAT , RAT được viết từ nền tảng trong Golang và nó được sử dụng như một phần của chiến dịch nhắm mục tiêu người dùng tiền điện tử kể từ đầu năm 2020.
Hàng nghìn người bị nhiễm trong vòng một năm
Chiến dịch, được phát hiện lần đầu tiên vào tháng 12, được cho là đã cướp đi sinh mạng của hơn 6.500 nạn nhân dựa trên số lượng khách truy cập vào các trang Pastebin được sử dụng để định vị các máy chủ lệnh và điều khiển (C2).
“Chiến dịch ElectroRAT” liên quan đến việc những kẻ tấn công tạo ra ba ứng dụng bị nhiễm độc khác nhau – mỗi ứng dụng có phiên bản Windows, Linux, Mac – hai trong số đó là ứng dụng quản lý thương mại tiền điện tử có tên là “Jamm” và “eTrade”, trong khi ứng dụng thứ ba có tên ” DaoPoker “giả dạng là một nền tảng poker tiền điện tử.
Không chỉ các ứng dụng độc hại được lưu trữ trên các trang web được xây dựng đặc biệt cho chiến dịch này, mà các dịch vụ còn được quảng cáo trên Twitter, Telegram và các diễn đàn liên quan đến tiền điện tử và blockchain hợp pháp như “bitcointalk” và “SteemCoinPan” nhằm thu hút người dùng không nghi ngờ tải xuống các ứng dụng bị nhiễm độc.
Sau khi được cài đặt, ứng dụng sẽ mở ra một giao diện người dùng trông vô hại trong khi thực tế, phần mềm độc hại ElectroRAT chạy ẩn trong nền dưới dạng “mdworker”, đi kèm với các khả năng xâm nhập để ghi lại các tổ hợp phím, chụp ảnh màn hình, tải lên tệp từ đĩa, tải xuống tệp tùy ý thực hiện các lệnh độc hại nhận được từ máy chủ C2 trên máy của nạn nhân.
Phần mềm độc hại ElectorRAT mới dựa trên Golang và không bị phát hiện rất có thể là một công cụ hiệu quả hơn nhiều cho một hoạt động lén lút, đặc biệt là vì nó có các khả năng tương tự và cho phép nhắm mục tiêu vào nhiều nền tảng.
ElectroRAT là một phần mềm độc hại xâm lấn đáng kể với một loạt các khả năng được chia sẻ bởi các biến thể Windows, Linux và macOS của nó bao gồm “keylogging, chụp ảnh màn hình, tải lên tệp từ đĩa, tải xuống tệp và thực hiện lệnh trên bảng điều khiển của nạn nhân.”
Nếu bạn đã tải xuống và khởi chạy các ứng dụng trojanized Jamm, eTrade hoặc DaoPoker trên máy tính của mình, bạn nên xóa ngay các quy trình của chúng và xóa hoàn toàn tất cả các tệp liên quan khỏi hệ thống.
Nếu các gói tiền điện tử của bạn vẫn chưa được làm trống, bạn cũng nên chuyển ngay tất cả tiền của mình sang ví mới và thay đổi tất cả mật khẩu càng sớm càng tốt.
Source: bleepingcomputer
Fanpage: Trí Việt JSC