ElectroRAT mengeksploitasi ledakan Bitcoin untuk mencuri cryptocurrency

Penjahat dunia maya telah menjalankan operasi canggih untuk mencuri cryptocurrency dari korban yang tidak menaruh curiga dengan memikat mereka ke platform pertukaran palsu dan menggunakan alat akses jarak jauh (RAT) yang dibuat dari awal untuk mengakses dompet mereka.

Kampanye yang telah berjalan selama satu tahun ini terdiri dari pendaftaran domain, situs web, aplikasi berbahaya, akun media sosial palsu, dan alat akses jarak jauh (RAT) yang sebelumnya tidak terdeteksi yang disebut ElectroRAT, menurut peneliti Intezer Labs.

Peretas di balik operasi tersebut telah memikat pengguna cryptocurrency untuk bergabung dengan tiga aplikasi bernama Jamm, eTrade dan DaoPoker, yang dimuat dengan ElectroRAT, dengan mempromosikannya di forum populer seperti bitcointalk. Pengguna palsu telah mengirimkan posting promosi, sementara aplikasi juga diberikan kehadiran online melalui pembuatan akun Twitter dan Telegram palsu.

Setelah salah satu aplikasi ini diinstal pada mesin korban, ElectroRAT digunakan untuk mengumpulkan kunci pribadi untuk mengakses dompet korban dan mencuri mata uang kripto, seperti Bitcoin, yang baru-baru ini mengalami booming yang signifikan.

Alat ini ditulis dalam bahasa Golang dan dikompilasi untuk menargetkan sistem operasi populer termasuk Windows, Linux dan macOS, perusahaan keamanan mengungkapkan setelah mengetahui keberadaan operasi tersebut pada bulan Desember.

“Sangat jarang melihat RAT ditulis dari awal dan digunakan untuk mencuri informasi pribadi dari pengguna cryptocurrency,” kata peneliti keamanan dengan Intezer Labs, Avigayil Mechtinger.

“Lebih jarang lagi melihat kampanye yang luas dan bertarget yang mencakup berbagai komponen seperti aplikasi/situs palsu dan upaya pemasaran/promosi melalui forum dan media sosial yang relevan.”

Setelah aplikasi berjalan, antarmuka pengguna grafis (GUI) terbuka dan ElectroRAT mulai bekerja di latar belakang sebagai "mdworker". Ini sulit dideteksi oleh perangkat lunak antivirus karena cara penulisan binari.

Malware ini sangat mengganggu, bagaimanapun, dan memiliki berbagai kemampuan termasuk keylogging, mengambil screenshot, mengupload file dari disk, mendownload file dan menjalankan perintah. Fungsi-fungsi ini kira-kira sama di ketiga varian Windows, Linux, dan macOS.

Machtinger menambahkan bahwa kampanye tersebut mencerminkan semakin menonjolnya pasar cryptocurrency - dipimpin oleh biaya Bitcoin baru-baru ini. Cryptocurrency konvensional yang mudah menguap telah melonjak dalam beberapa bulan terakhir, dengan nilainya meledak akhir-akhir ini untuk melewati ambang batas $35.000 (kira-kira £25.000) pada saat penulisan. Dengan demikian, hal ini menarik para penjahat dunia maya yang berharap untuk mengeksploitasi ini untuk keuntungan finansial.

Kampanye ElectroRAT telah mempengaruhi lebih dari 6.500 pengguna, berdasarkan jumlah pengunjung ke halaman pastebin yang digunakan untuk menemukan server perintah dan kontrol.

Intezer Labs telah merekomendasikan agar para korban segera mengambil tindakan untuk melindungi diri mereka sendiri. Proses mitigasi ini termasuk mematikan proses, menghapus semua file yang terkait dengan malware, memindahkan dana ke dompet baru, dan mengubah semua kata sandi.