Windows,macOS和Linux的加密货币窃取程序一年未被发现

2021-01-09 18:08:57

过去几年来,飙升的加密货币估值打破了纪录,使曾经一度持平的人变成了隔夜百万富翁。一个坚定不移的犯罪分子试图通过一系列广泛的行动来加入该党,在过去的12个月中,该行动采用了全面的营销活动,将针对Windows,macOS和Linux设备从头开始编写的定制恶意软件。

根据安全公司Intezer发布的一份报告,该行动至少从2020年1月开始一直活跃,一直不遗余力地窃取了不知情的加密货币持有者的钱包地址。该方案包括三个单独的木马应用程序,每个应用程序都可在Windows,macOS和Linux上运行。它还依靠假公司,网站和社交媒体资料网络来赢得潜在受害者的信任。

这些应用构成了对加密货币持有者有用的良性软件。隐藏在其中的是从头开始编写的远程访问木马。一旦安装了应用程序,即称为Intezer后门的ElectroRAT,则允许操作背后的骗子记录击键,截屏,上传,下载和安装文件,以及在受感染的计算机上执行命令。为了证明其隐身性,所有主要的防病毒产品都未检测到伪造的加密货币应用程序。

研究人员在Intezer报告中写道:“看到RAT从头开始编写并用于窃取加密货币用户的个人信息是非常罕见的。” “看到这样一个范围广泛且针对性强的活动,包括假冒应用程序和网站等各种组成部分,以及通过相关论坛和社交媒体进行的营销/促销活动,这种情况更加罕见。”

用来感染目标的三个应用程序称为“ Jamm”,“ eTrade”和“ DaoPoker”。前两个应用程序声称是一个加密货币交易平台。第三个是一个扑克应用程序,允许使用加密货币下注。

骗子在诸如bitcointalk和SteemCoinPan之类的与加密货币相关的论坛上使用了虚假的促销活动。这些促销活动是由虚假的社交媒体用户发布的,导致了三个网站之一,每个可用的木马化应用程序一个。 ElectroRAT是用Go编程语言编写的。

下图总结了该操作及其用于定位加密货币用户的各种片段:

ElectroRAT使用名为“ Execmac”的用户发布的Pastebin页面来定位其命令和控制服务器。用户的个人资料页面显示,自2020年1月以来,这些页面已获得6700多次页面浏览。 Intezer认为点击次数大致相当于被感染的人数。

这家安全公司表示,Execmac过去与Windows木马Amadey和KPOT有联系,后者可以在地下论坛中购买。

Intezer的帖子推测:“这种[更改]背后的原因可能是针对多个操作系统。” “另一个诱因是这是一个未知的Golang恶意软件,它通过逃避所有防病毒检测,使该活动在雷达下飞行了一年。”

知道您是否被感染的最佳方法是查找前面提到的三个应用程序中的任何一个的安装。 Intezer帖子还提供了Windows和Linux用户可以用来检测内存中运行的ElectroRAT的链接。被感染的人应该对系统进行消毒,更改所有密码,然后将资金转移到新的钱包中。

任何索赔的举证责任都由索赔人承担。声称具有非法性/非法性时,这无疑是令人怀疑的。如果您声称pastebin不是合法网站,请提出您的论据以证明该主张。否则,我们其余的人将继续生活,而无视您,因为这是对要求他人证明“无罪”的人的正确回应。任何给定的站点或个人。