Phần mềm độc hại “ElectroRAT” này có thể đang âm thầm rút Bitcoin của bạn

Một ransomware đã ảnh hưởng đến người dùng của hơn ba ứng dụng trong năm qua và rút hàng trăm Bitcoin trong ví của họ.

Chuột muốn Bitcoin

Một lỗi mới được các nhà nghiên cứu xác định là bắt chước chương trình giao dịch tiền điện tử được cho là đã ảnh hưởng đến hàng nghìn người dùng trong năm qua, một báo cáo trên ấn phẩm bảo mật Bleeping Computer cho biết.

Được gọi là “ElectroRAT”, vì nó lây nhiễm sang các ứng dụng Electron, vi-rút này là một trojan truy cập từ xa (RAT) được phát hiện vào tháng 12 năm 2020 và nhắm mục tiêu vào người dùng Windows, Linux và macOS.

Khi lây nhiễm, vi rút sẽ ghi đè các chức năng của ứng dụng và khiến chúng hoạt động như ứng dụng giao dịch tiền điện tử (trên Jamm và eTrade) hoặc ứng dụng poker tiền điện tử (DaoPoker).

 Khi người dùng không nghi ngờ truy cập vào bất kỳ mục nào trong số này, một giao diện giả sẽ xuất hiện trong khi ElectroRAT hoạt động ở chế độ nền.

Hoạt động của nó như sau: Phần mềm độc hại lây nhiễm vào máy tính nạn nhân, vào keylog, chụp ảnh màn hình, tải lên tệp từ đĩa (của nạn nhân), tải xuống các tệp quan trọng khác và thực hiện các lệnh trên bảng điều khiển của nạn nhân.

Sau đó, nó có thể truy cập và chuyển bất kỳ loại tiền điện tử nào được lưu trữ mà nó tìm thấy.

Báo cáo cho biết, để bẫy nạn nhân hơn nữa, các ứng dụng “trojanized” như vậy đã được quảng cáo trên các phương tiện truyền thông xã hội khác nhau, như Twitter và các ứng dụng hoặc diễn đàn nhắn tin khác phổ biến với người dùng tiền điện tử, chẳng hạn như bitcointalk và Telegram.

Hơn 6.500 phiên bản

Intezer, một công ty bảo mật lần đầu tiên phát hiện ra vi-rút, đã lưu ý trong báo cáo chính thức của mình rằng ba ứng dụng dường như đã được các nạn nhân tải xuống từ tháng 1 đến tháng 12 năm 2020.

Ngoài ra, một trong những trang Pastebin được ElectoRAT sử dụng để truy cập lệnh-và máy chủ -control (C2) — hoặc máy chủ giúp kẻ gian lận kiểm soát mạng botnet và gửi các lệnh độc hại — đã được truy cập hơn 6.500 lần trong khoảng thời gian này.

Công ty cho biết:

“Ứng dụng trojanized và mã nhị phân ElectroRAT được phát hiện thấp hoặc hoàn toàn không bị phát hiện trong VirusTotal.”

Intezer nói thêm rằng còn “hiếm hơn” khi thấy loại “chiến dịch có mục tiêu và phạm vi rộng” được triển khai bởi hacker ElectroRAT, một loại bao gồm nhiều khía cạnh như tạo ra các ứng dụng và trang web giả mạo, đồng thời tiếp thị chúng để thu hút thêm nạn nhân .

Trong khi đó, Intezer khuyên người dùng các ứng dụng này — Jamm, eTrade hoặc DaoPoker — xóa tất cả các tệp liên quan khỏi hệ thống của họ và sử dụng các công cụ quản trị để “giết” các quy trình của họ. 

Và những người dùng có tiền điện tử chưa được rút hết được Intezer khuyên nên chuyển ngay tất cả tiền điện tử của họ sang ví khác.

Saigontradecoin/cointelegraph

Hãy tham gia các nhóm công đồng của chúng tôi tại:

STC Teamhttps://saigontradecoin.com
Bởi SaiGon TradeCoin, dành cho cộng đồng.