Er is een nieuwe grootschalige operatie ontdekt gericht op cryptocurrency gebruikers met als doel crypto als bitcoin (BTC) en ethereum (ETH) te stelen. Dat melden onderzoekers van cybersecuritybedrijf Intezer op 5 januari:
Operation #ElectroRAT
Already thousands of crypto wallets stolen. Extensive campaign includes written from scratch RAT hidden in trojanized applications.
Windows, Linux and macOS samples undetected in VirusTotalhttps://t.co/KyBqPhZ0jW pic.twitter.com/iba6GEZ67r
— Intezer (@IntezerLabs) January 5, 2021
De operatie bestaat uit een volledige marketingcampagne, drie applicaties en een nieuwe remote access tool, of RAT. Een RAT is een programma waarmee computers op afstand kunnen worden overgenomen.
Intezer noemt deze RAT de ElectroRAT en meldt dat het zeer zeldzaam is dat een dergelijke trojan van de grond af aan is opgebouwd en gebruikers op zowel Windows, Linux als macOS kan aanvallen.
ElectroRAT zit verstopt in drie verschillende apps: Jam en eTrade zijn crypto handelsbeheer apps en DaoPoker is een crypto poker app. Alle drie apps zijn gebouwd op Electron (vandaar de naam).
De apps worden gepromoot op forums en social-mediaplatformen. Ook bestaan er neppe Twitter accounts voor elke app om ze legitiem te laten lijken. Mensen die een van deze drie apps downloaden installeren dus eigenlijk onbewust ElectroRAT op hun computer.
ElectroRAT bevat meerdere functionaliteiten waaronder een zogeheten keylogger, een screenshot maker, de mogelijkheid om bestanden van en naar de harde schijf te downloaden en te uploaden, en de mogelijkheid om op afstand commando’s uit te voeren.
Intezer schat op basis van het aantal unieke gebruikers op de websites dat wellicht al 6,5 duizend mensen zijn geïnfecteerd. Ook blijkt dat de trojan al sinds januari 2020 wordt verspreid, en grotendeels onopgemerkt.
