ElectroRAT, Siber Güvenlik araştırmacıları, binlerce Windows, Linux ve macOS kullanıcısının kripto para birimi cüzdanlarını boşaltmak için kullanılan yeni bir uzaktan erişim truva atı (RAT) keşfettiler.
Aralık ayında keşfedildikten sonra ElectroRAT olarak adlandırılan çapraz platform RAT kötü amaçlı yazılımı Golang’da yazılmıştır ve 2020’nin başından beri kripto para kullanıcılarını hedefleyen bir kampanyanın parçası olarak kullanılmıştır.
Bir yıl içinde binlerce cüzdan çalındı!
ElectroRAT operasyonunun arkasındaki saldırganlar, kripto para birimi ticaret yönetimi araçları (Jamm ve eTrade) ve bir kripto para birimi poker uygulaması (DaoPoker) gibi görünmek ve davranmak için yapılan özel Electron uygulamalarına RAT’larını oluşturdu ve enjekte etti.
Bir kurbanın bilgisayarında başlatıldıktan sonra, bu uygulamalar, kurbanların dikkatini kötü niyetli ElectroRAT arka plan işleminden başka yöne çekmek için tasarlanmış bir ön plandaki kullanıcı arayüzü gösterecek.
Intezer raporuna göre, tehdit aktörleri potansiyel kurbanları cezbetmek için sosyal medyada (Twitter ve Telegram) ve özel çevrimiçi forumlarda (bitcointalk ve SteemCoinPan) truva atı haline getirilmiş uygulamaları tanıttı.
Intezer, “Truva atına tabi tutulmuş uygulama ve ElectroRAT ikili dosyaları, bu yazının yazıldığı sırada VirusTotal’da ya düşük düzeyde algılandı ya da tamamen algılanmadı,” diyor.
Kötü amaçlı yazılımın operatörleri enfekte olduktan ve cüzdanlarını boşalttıktan sonra, bazı kurbanların diğerlerini tehlikeli uygulamalar konusunda uyardığı da görüldü.
Truva Atlarından Yararlınıyorlar!
ElectroRAT C2 bilgilerini yükleyen aynı kullanıcı tarafından yayınlanan C2 pastebin sayfaları, saldırganların kullanıma hazır Amadey ve KPOT bilgi hırsız truva atlarından da yararlandığını gösteriyor.
Her iki hırsız da yalnızca Windows platformunu hedef alır ve bulaşma sonrasında neredeyse imkansız kalmaya yönelik çabaları neredeyse imkansız kılacak iyi bilinen truva atlarıdır.
Golang tabanlı ve tespit edilmeyen yeni ElectorRAT kötü amaçlı yazılımı, özellikle benzer yeteneklere sahip olduğu ve birden çok platformu hedeflemeye izin verdiği için, büyük olasılıkla gizli bir operasyon için çok daha etkili bir araçtı.
ElectroRAT, Windows, Linux ve macOS varyantları tarafından paylaşılan, “keylogging, ekran görüntüsü alma, diskten dosya yükleme, dosya indirme ve kurbanın konsolunda komutları çalıştırma” dahil olmak üzere çok çeşitli yeteneklere sahip, oldukça istilacı bir kötü amaçlı yazılımdır.
Intezer, “Sıfırdan yazılmış ve kripto para birimi kullanıcılarının kişisel bilgilerini çalmak için kullanılan bir RAT görmek çok nadir görülen bir durumdur” diye sonlandırıyor.
“Sahte uygulamalar ve web siteleri gibi çeşitli bileşenleri ve ilgili forumlar ve sosyal medya aracılığıyla pazarlama / tanıtım çabalarını içeren bu kadar geniş kapsamlı ve hedefli bir kampanya görmek daha da nadirdir.”
