ElectroRAT nutzt den Bitcoin-Boom aus, um Kryptowährung zu stehlen

Cyberkriminelle haben eine ausgeklügelte Operation durchgeführt, um ahnungslosen Opfern Kryptowährung zu stehlen, indem sie sie auf gefälschte Austauschplattformen locken und ein von Grund auf neu entwickeltes Fernzugriffstool (RAT) verwenden, um auf ihre Brieftaschen zuzugreifen.

Die Kampagne, die seit einem Jahr läuft, umfasst laut Forschern von Intezer Labs Domänenregistrierungen, Websites, bösartige Anwendungen, gefälschte Social-Media-Konten und ein zuvor unentdecktes Fernzugriffstool (RAT) namens ElectroRAT.

Die Hacker hinter der Operation haben Kryptowährungsbenutzer dazu verleitet, sich drei Apps namens Jamm, eTrade und DaoPoker anzuschließen, die mit ElectroRAT geladen sind, indem sie sie in beliebten Foren wie bitcointalk beworben haben. Gefälschte Benutzer haben Werbebeiträge eingereicht, während die Apps durch die Erstellung gefälschter Twitter- und Telegram-Konten auch eine Online-Präsenz erhielten.

Sobald eine dieser Apps auf dem Computer eines Opfers installiert ist, wird ElectroRAT verwendet, um private Schlüssel zu sammeln, um auf die Brieftaschen der Opfer zuzugreifen und Kryptowährungen wie Bitcoin zu stehlen, die kürzlich einen erheblichen Boom erlebt haben.

Dieses Tool ist in Golang geschrieben und für gängige Betriebssysteme wie Windows, Linux und macOS kompiliert, gab die Sicherheitsfirma bekannt, nachdem sie im Dezember von der Existenz der Operation erfahren hatte.

„Es ist sehr ungewöhnlich, dass eine RAT von Grund auf neu geschrieben und dazu verwendet wird, persönliche Informationen von Kryptowährungsbenutzern zu stehlen“, sagte der Sicherheitsforscher von Intezer Labs, Avigayil Mechtinger.

„Noch seltener sieht man eine so weitreichende und zielgerichtete Kampagne, die verschiedene Komponenten wie gefälschte Apps/Websites und Marketing-/Werbemaßnahmen über relevante Foren und soziale Medien umfasst.“

Sobald die Anwendungen ausgeführt werden, öffnet sich eine grafische Benutzeroberfläche (GUI) und ElectroRAT beginnt im Hintergrund als „mdworker“ zu arbeiten. Dies ist aufgrund der Art und Weise, wie die Binärdateien geschrieben sind, von Antivirensoftware schwer zu erkennen.

Die Malware ist jedoch äußerst aufdringlich und verfügt über verschiedene Funktionen, darunter Keylogging, Erstellen von Screenshots, Hochladen von Dateien von der Festplatte, Herunterladen von Dateien und Ausführen von Befehlen. Diese Funktionen sind bei allen drei Windows-, Linux- und macOS-Varianten in etwa gleich.

Machtinger fügte hinzu, dass die Kampagne die wachsende Bedeutung des Kryptowährungsmarktes widerspiegelt – angeführt von der jüngsten Bitcoin-Gebühr. Die konventionell volatile Kryptowährung ist in den letzten Monaten stark gestiegen, wobei ihr Wert in letzter Zeit explodiert ist und zum Zeitpunkt des Verfassens dieses Artikels die Schwelle von 35.000 USD (ca. 25.000 GBP) überschritten hat. Als solches zieht es Cyberkriminelle an, die hoffen, dies für finanziellen Gewinn auszunutzen.

Die ElectroRAT-Kampagne hat bereits mehr als 6.500 Benutzer betroffen, basierend auf den Besucherzahlen der Pastebin-Seiten, die zum Auffinden der Command-and-Control-Server verwendet werden.

Intezer Labs hat den Opfern empfohlen, sofort Maßnahmen zu ergreifen, um sich selbst zu schützen. Dieser Minderungsprozess umfasst das Beenden des Prozesses, das Löschen aller Dateien im Zusammenhang mit der Malware, das Verschieben von Geldern in eine neue Wallet und das Ändern aller Passwörter.