跨平台恶意软件ElectroRAT针对加密货币用户进行攻击

网络安全研究人员1月5日,揭示了针对加密货币用户的攻击,始于去年1月份开始分发木马化应用程序,在目标系统上安装以前未检测到的远程访问工具ElectroRAT。
ElectroRAT是重新用Golang编写,使用开源的Electron跨平台桌面应用程序框架开发的,可以针对多种操作系统,做到跨平台攻击,并逃避大多数防病毒引擎的最新恶意代码库。例如Windows,Linux和macOS。
常见的攻击情况是,各种信息窃取者试图收集私钥以访问受害者的钱包。但是,很少见到从头开始编写多个操作系统跨平台工具针对目的。
据称,该攻击活动根据用于定位命令和控制(C2)服务器的Pastebin页面的唯一身份访问者人数显示,已导致6500多名受害者沦陷。
攻击者为 Operation ElectroRAT创建三个不同的受污染应用程序,每个应用程序具有Windows、Linux和Mac版本,其中两个冒充为加密货币交易管理应用程序,名称分别为“ Jamm”和“ eTrade”,而第三个应用程序称为“ DaoPoker”伪装成一种加密货币扑克平台。
不仅为此恶意活动专门构建网站托管恶意应用,而且还在Twitter,Telegram和合法的加密货币以及与区块链相关的论坛(例如“ bitcointalk”和“ SteemCoinPan”)上进行了广告宣传,以诱使毫无戒心的用户下载受污染的应用程序。
安装后,应用程序会打开一个无害的用户界面,ElectroRAT在后台隐藏为“ mdworker”运行,具有侵入性功能,可以捕获击键、截屏、从磁盘上载文件、下载任意文件,以及执行从受害者计算机上的C2服务器接收到的恶意命令。
有趣的是,对一个名为“ Execmac”的用户最早于2020年1月8日发布的Pastebin页面以及同一用户在活动之前发布的页面进行的分析发现,C2服务器与Windows恶意软件(如Amadey和KPOT)表示,攻击者已能够针对多个操作系统的展开新型RAT。这是一个未知的Golang恶意软件,通过逃避所有防病毒检测,在成功躲避防恶意软件扫描,已经运行长达一年了。
安全研究人员敦促受害者的用户删除与恶意软件有关的所有文件,将资金移至新的钱包,并更改密码。同时,我们通过这个恶意软件长达一年,躲避过杀毒软件(防恶意代码软件)扫描,说明杀毒软件并非万能的,所以网络安全不是单方面的工作,除了杀毒还需要进行部署审计以及入侵防御,还有动态监测系统,这些都可以协助组织发现解决网络安全问题。同时,我们知道有很多针对杀毒软件的逃避技术,所以在这里也希望网络运营、使用者要综合考虑如何防范风险,不要过于利用单一的技术,要学会打组合拳。

一个敢于挑战美国权威的男人,英国法院拒绝美国要求对他的引渡
网络安全等级保护:什么是等级保护?
网络安全等级保护:什么是网络安全等级保护工作的内涵?
网络安全等级保护制度:国家网络安全的基本制度、基本国策
网络安全等级保护:是网络安全工作的基本方法
(0)

相关推荐