بدافزارجدیدCross-Platform ElectroRATکاربران ارزهای رمزپایه موردهدف قرار داد
بدافزارجدیدCross-Platform ElectroRATکاربران ارزهای رمزپایه موردهدف قرار داد
RAT که ElectroRAT نامیده می‌‌شود، در Golang نوشته شده و برای هدف قرار دادن چندین سیستم‌عامل مانند ویندوز، لینوکس و macOS طراحی شده است. این برنامه‌ها با استفاده از چارچوب برنامه‌ Electron cross-platform desktop منبع باز، توسعه داده می‌شوند.

محققان امنیت سایبری یک کلاهبرداری گسترده را برای هدف قرار دادن کاربران ارزهای رمزپایه فاش کردند. این کلاهبرداری از اوایل ژانویه سال گذشته برای توزیع برنامه‌های تروجان شده با نصب یک ابزار دسترسی از راه دور غیرقابل شناسایی بر روی سیستم‌های هدف آغاز شد.

بدافزارجدیدCross-Platform ElectroRATکاربران ارزهای رمزپایه موردهدف قرار داد

بدافزارجدیدCross-Platform ElectroRATکاربران ارزهای رمزپایه موردهدف قرار داد
بدافزارجدیدCross-Platform ElectroRATکاربران ارزهای رمزپایه موردهدف قرار داد

RAT که ElectroRAT نامیده می‌‌شود، در Golang نوشته شده و برای هدف قرار دادن چندین سیستم‌عامل مانند ویندوز، لینوکس و macOS طراحی شده است. این برنامه‌ها با استفاده از چارچوب برنامه‌ Electron cross-platform desktop منبع باز، توسعه داده می‌شوند.

محققان گفتند: “ElectroRAT آخرین نمونه از مهاجمان است که از Golang برای تولید بدافزار چند پلتفرمی و فرار از بیشتر موتورهای آنتی ویروس استفاده می‌کنند.”

معمولاً مشاهده می‌شود که سرقت کنندگان اطلاعات مختلف، سعی در جمع‌آوری کلیدهای خصوصی برای دسترسی به کیف پول قربانیان دارند، اما به ندرت دیده می‌شود که از ابتدا ابزارهایی نوشته شود  که چندین سیستم عامل را برای این منظور هدف قرار دهند.

اعتقاد بر این است که این کمپین از اولین شناسایی در ماه دسامبر، بر اساس تعداد بازدیدکنندگان بی‌نظیر صفحات Pastebin که برای تعیین سرورهای فرمان و کنترل (C2) استفاده می‌شود، بیش از ۶۵۰۰ قربانی گرفته است.

malware_1.jpg

“Operation ElectroRAT” شامل سه برنامه مختلف آلوده می باشد – هرکدام با نسخه‌های ویندوز، لینوکس، مک – دو مورد از آنها به عنوان برنامه‌های مدیریت تجارت ارز رمزنگاری شده با نام‌های “Jamm” و “eTrade”، و برنامه سوم به نام “DaoPoker” به عنوان یک پلتفرم پوکر ارز رمزنگاری می‌شود.

نه تنها برنامه‌های مخرب در وب سایت‌های مخصوص این کمپین ساخته شده‌اند، بلکه این سرویس‌ها در توییتر، تلگرام و مبادلات رمزنگاری قانونی و انجمن‌های مرتبط با بلاکچین نیز مانند “SteemCoinPan” تبلیغ می‌شوند تا تلاش کنند کاربران بی‌خبر را برای بارگیری برنامه‌های آلوده فریب دهند.

cryptocurrency-malware_1.jpg

پس از نصب، برنامه یک رابط کاربری بی‌خطر را باز می‌کند، در حالی که در واقع ElectroRAT به صورت “mdworker” در پس زمینه پنهان می‌شود، که دارای قابلیت‌ اجرای سرزده برای ضبط کلیدها، گرفتن عکس از صفحه، بارگذاری پرونده‌ها از دیسک، بارگیری پرونده‌های دلخواه و دستورات مخرب دریافت شده از سرور C2 در دستگاه قربانی می باشد. 

جالب است بدانید، تجزیه و تحلیل صفحات Pastebin – که توسط کاربری به نام “Execmac” در اوایل ۸ ژانویه ۲۰۲۰ منتشر شد – نشان داد که هک های قبل از این کمپین که توسط همان کاربر توسط سرورهای C2 ارسال شده است، با بدافزارهای ویندوز مانند Amadey و KPOT، رابطه  دارند. همچنین نشان داد که مهاجمان بر تروجان‌های معروف به یک RAT جدید که قادر به هدف قرار دادن چندین سیستم‌عامل است، متمرکز شده‌اند.

hacker (1)_0.jpg

محققان گفتند: “عامل تحریک کننده دیگر این بدافزار ناشناخته، Golang است که با فرار از تمام ردیابی‌های آنتی ویروس، به مدت یک سال به کمپین اجازه پرواز در زیر رادار را داده است.”

از کاربرانی که قربانی این کمپین شده اند، خواسته می‌شود روند کار را از بین ببرند، تمام پرونده‌های مربوط به بدافزار را حذف کنند، وجوه را به کیف پول جدید منتقل کنند و رمزهای عبور خود را تغییر دهند.


 منبعthehackernews

  • منبع خبر : پلیس فتا
لینک کوتاه :