ElectroRAT

El auge del sector de las criptomonedas que comenzó hace varios años y que todavía se está fortaleciendo hoy seguramente llamará la atención de los piratas informáticos malvados. De hecho, la cantidad de amenazas de malware desatadas en forma salvaje durante el último año que se dirigieron principalmente a los usuarios de criptomonedas muestra un crecimiento significativo. Otra tendencia observable entre los ciberdelincuentes es la mayor adopción del lenguaje de programación Go. En comparación con C, C ++ y C # ya establecidos y bastante convencionales, el uso de Go ofrece varias ventajas distintas. El código de malware escrito en Go sigue siendo algo mejor para evitar la detección. Es más difícil para la ingeniería inversa y, debido a que sus binarios son más fáciles de compilar, los operadores malvados pueden configurar amenazas de múltiples plataformas rápidamente.

Una de las últimas amenazas que se incluyen en esta categoría fue nombrada ElectroRAT por los investigadores de info-sec de Intezer Labs, quienes la detectaron por primera vez. ElectroRAT está equipado con numerosas capacidades intrusivas orientadas a recolectar y filtrar datos confidenciales de los dispositivos comprometidos. Puede configurar rutinas de registro de teclas, tomar capturas de pantalla, ejecutar comandos arbitrarios, descargar archivos adicionales o cargar archivos seleccionados a un repositorio bajo el control de los piratas informáticos. A pesar de la multitud de usos que podría tener tal amenaza, los investigadores confían en que el objetivo principal de ElectroRAT era obtener direcciones de billeteras de criptomonedas, que posteriormente se agotarán de fondos. Se estima que 6.500 usuarios se han infectado con ElectroRAT. El número se basó en las veces que se accedió a una URL de Pastebin que contenía la dirección de los servidores Command y Contro (C&C, C2) de la amenaza.

Aunque ElectroRAT se detectó en diciembre de 2020, se estima que la campaña amenazante dedicada a su distribución comenzó a principios de año, en los primeros días de enero de 2020.Los piratas informáticos crearon tres aplicaciones de criptomonedas falsas separadas llamadas DaoPoker, Jamm y eTrade / Kintum para llevar el código de ElectorRAT. DaoPoker se hizo pasar por una aplicación de póquer que permite el uso de criptomonedas, mientras que las otras dos aplicaciones con malware pretendían ser una plataforma de comercio de criptomonedas fácil de usar. Cada aplicación tenía un sitio web dedicado configurado para ella: daopker.com, jamm.to y kintum.io. Los piratas informáticos crearon versiones de las tres aplicaciones para cada una de las plataformas principales: Windows, Mac y Linux. Los usuarios desprevenidos fueron dirigidos hacia las aplicaciones insidiosas y sus sitios web corruptos dedicados a través de anuncios publicados por los piratas informáticos en diferentes plataformas de redes sociales, así como foros especializados en criptomonedas.

Los usuarios que interactúan con las criptomonedas de forma activa deberían comenzar a estar más alerta cuando se trata de amenazas de malware que intentan interceptar, recolectar y exfiltrar datos privados confidenciales de sus dispositivos.