محققان امنیت سایبری امروز یک کلاهبرداری گسترده را برای هدف قرار دادن کاربران ارزهای رمزپایه فاش کردند که از اوایل ژانویه سال گذشته برای توزیع برنامه‌های تروجان شده برای نصب یک ابزار دسترسی از راه دور غیرقابل شناسایی بر روی سیستم‌های هدف آغاز شده است فاش کردند.

این RAT که ElectroRAT نامیده می‌شود در Golang نوشته شده و برای هدف قرار دادن چندین سیستم‌عامل مانند ویندوز، لینوکس و macOS طراحی شده است.

محققان گفتند: ElectroRAT آخرین نمونه از مهاجمانی است كه از Golang برای تولید بدافزار چند پلتفرمی و فرار از موتورهای آنتی‌ویروس استفاده می‌كنند.
معمولاً مشاهده می‌شود كه سرقت کنندگان اطلاعات مختلف سعی در جمع‌آوری کلیدهای خصوصی برای دسترسی به کیف پول قربانیان دارند. با این وجود به ندرت می‌توان ابزاری را از ابتدا نوشت و چندین سیستم‌عامل را برای این منظور هدف قرار داد.

برای دیدن سایز بزرگ روی عکس کلیک کنید
نام: malware (1).jpg
مشاهده: 7
حجم: 37.4 کیلو بایت

“Operation ElectroRAT” شامل سه برنامه مختلف آلوده که هرکدام با نسخه‌های ویندوز، لینوکس و مک سازگار هستند و دو مورد از آنها به عنوان برنامه‌های مدیریت تجارت ارز رمزنگاری شده با نام‌های “Jamm” و “eTrade” و برنامه سوم به نام ” DaoPoker “به عنوان یک پلتفرم پوکر رمزارز معرفی می‌شود.

این سرویس‌ها در توییتر، تلگرام و انجمن مبادلات رمزنگاری قانونی و انجمن‌های مرتبط با بلاکچین مانند “bitcointalk” و “SteemCoinPan” تبلیغ می‌شوند تا تلاش کنند کاربران بی‌خبر را فریب دهند.

برای دیدن سایز بزرگ روی عکس کلیک کنید
نام: cryptocurrency-malware.jpg
مشاهده: 7
حجم: 60.6 کیلو بایت

هنگامی که برنامه نصب شد یک رابط کاربری ظاهرا بی‌ضرر باز می‌کند، در حالی که ElectroRAT در پس‌زمینه بصورت “mdworker” پنهان اجرا می‌شود که دارای قابلیت‌هایی برای ضبط کلیدها، گرفتن عکس از صفحه، بارگذاری پرونده‌ها از دیسک، بارگیری پرونده‌های دلخواه و دستورات مخرب دریافت شده از سرور C2 روی دستگاه قربانی می‌باشد.

برای دیدن سایز بزرگ روی عکس کلیک کنید
نام: hacker (1).jpg
مشاهده: 7
حجم: 19.9 کیلو بایت

محققان گفتند: عامل تحریک کننده دیگر این یک بدافزار ناشناخته Golang است که با فرار از تمام ردیابی‌های آنتی‌ویروس، به مدت یک سال به کمپین اجازه پرواز در زیر رادار را داده است.

از کاربرانی که قربانی این کمپین شده‌اند خواسته می‌شود Process بدافزار را از بین ببرند، تمام پرونده‌های مربوط به بدافزار را حذف کنند و وجوه را به کیف پول جدید منتقل کنند و رمزهای عبور خود را تغییر دهند.


دوست داشتید؟ لطفا با دوستان خود به اشتراک بگذارید.

73

یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *