Diese schwer fassbare Malware zielt seit einem Jahr auf Crypto Wallets ab

Free Bitcoins: FreeBitcoin | BonusBitcoin

Coins Kaufen: Bitcoin.deAnycoinDirektCoinbaseCoinMama (mit Kreditkarte)Paxfull

Handelsplätze / Börsen: Bitcoin.de | KuCoinBinanceBitMexBitpandaeToro

Lending / Zinsen erhalten: Celsius NetworkCoinlend (Bot)

Cloud Mining: HashflareGenesis MiningIQ Mining


Die heimtückische Malware ElectroRAT ist seit einem Jahr in Betrieb und bringt 2020 in das Jahr 2021 und zielt auf Krypto-Geldbörsen ab.

Ein Forscher des Cybersicherheitsunternehmens Intezer hat das Innenleben von ElectroRAT identifiziert und dokumentiert, das auf die Mittel der Opfer abzielt und diese abfließt.

Laut dem Forscher Avigayil Mechtinger umfasst der Malware-Vorgang eine Reihe detaillierter Tools, die Opfer täuschen, darunter eine „Marketingkampagne, benutzerdefinierte Anwendungen im Zusammenhang mit Kryptowährungen und ein neues Remote Access Tool (RAT), das von Grund auf neu geschrieben wurde“.

Die Malware heißt ElectroRAT, da es sich um ein Remotezugriffstool handelt, das in Apps eingebettet wurde, die auf Electron, einer Plattform zum Erstellen von Apps, basieren. Daher ElectroRAT.

"Es ist nicht überraschend, dass neuartige Malware veröffentlicht wird, insbesondere während eines Bullenmarkts, in dem der Wert der Kryptowährung steigt und solche Angriffe rentabler werden", sagte Jameson Lopp, Chief Technology Officer (CTO) beim Crypto Custody-Startup Casa.

In den letzten Monaten sind Bitcoin und andere Kryptowährungen in einen Bullenmarkt eingetreten, und die Preise sind in der gesamten Branche in die Höhe geschossen.

Was ist ElectroRAT?

ElectroRat-Malware ist in der Open-Source-Programmiersprache Golang geschrieben, die für plattformübergreifende Funktionen geeignet ist und auf mehrere Betriebssysteme wie MacOS, Linux und Windows abzielt.

Im Rahmen des Malware-Vorgangs haben die Angreifer laut Bericht „Domain-Registrierungen, Websites, trojanisierte Anwendungen und gefälschte Social-Media-Konten“ eingerichtet.

In dem Bericht stellt Mechtinger fest, dass Angreifer zwar häufig versuchen, private Schlüssel für den Zugriff auf die Brieftaschen von Personen zu sammeln, Original-Tools wie ElectroRAT und die verschiedenen Apps, die „von Grund auf neu“ geschrieben wurden und auf mehrere Betriebssysteme abzielen, jedoch nur selten zu sehen sind.

Eine visuelle Zusammenfassung des Anwendungsbereichs von ElectroRAT
(Intezer)

"Durch das Schreiben der Malware von Grund auf konnte die Kampagne fast ein Jahr lang unter dem Radar fliegen, indem alle Antiviren-Erkennungen umgangen wurden", schrieb Mechtinger in dem Bericht.

Lopp wiederholte diese Kommentare und sagte, es sei besonders interessant, dass die Malware für alle drei Hauptbetriebssysteme kompiliert wird und auf diese abzielt.

"Die Mehrheit der Malware ist aufgrund der breiten Installationsbasis und der schwächeren Sicherheit des Betriebssystems in der Regel nur für Windows bestimmt", sagte Lopp. "Im Fall von Bitcoin können Malware-Autoren argumentieren, dass viele Early Adopters eher technische Leute sind, die Linux ausführen."

Wie es funktioniert

Um Opfer anzulocken, haben die ElectroRat-Angreifer drei verschiedene Domänen und Apps erstellt, die auf mehreren Betriebssystemen ausgeführt werden.

Die Seiten zum Herunterladen der Apps wurden speziell für diesen Vorgang erstellt und so gestaltet, dass sie wie legitime Einheiten aussehen.

Die zugehörigen Apps richten sich speziell an Benutzer von Kryptowährungen und richten sich an diese. "Jamm" und "eTrade" sind Handelsmanagement-Apps. "DaoPoker" ist eine Poker-App, die Kryptowährung verwendet.

Mithilfe gefälschter Social Media- und Benutzerprofile sowie der Bezahlung eines Social Media-Influencers für ihre Werbung pumpte der Angreifer die Apps und bewarb sie in gezielten Kryptowährungs- und Blockchain-Foren wie Bitcointalk und SteemCoinPan. Die Beiträge ermutigten die Leser, sich die professionell aussehenden Websites anzusehen und die Apps herunterzuladen, wenn sie in Wirklichkeit auch die Malware herunterladen.

Das Frontend der eTrade-App
(Intezer)

Beispielsweise hatte die DaoPoker-Twitter-Seite 417 Follower, während ein Social-Media-Werbetreibender mit über 25.000 Followern auf Twitter für eTrade wirbte. Zum Zeitpunkt des Schreibens ist die DaoPoker Twitter Seite ist noch live.

Während die Apps auf den ersten Blick im Front-End legitim aussehen, führen sie schändliche Hintergrundaktivitäten aus, die auf die Kryptowährungs-Wallets der Benutzer abzielen. Sie sind auch noch aktiv.

"Hacker wollen Ihre Kryptowährung erhalten und sind bereit, weit zu gehen. Sie müssen monatelang daran arbeiten, gefälschte Unternehmen, einen falschen Ruf und unschuldig aussehende Anwendungen zu schaffen, die Malware verbergen, um Ihre Münzen zu stehlen", sagte Mechtinger.

Was es macht

"ElectroRAT verfügt über verschiedene Funktionen", sagte Mechtinger in einer E-Mail. "Es können Screenshots, Schlüsselprotokolle, das Hochladen von Ordnern / Dateien vom Computer eines Opfers und vieles mehr erstellt werden. Bei der Ausführung erstellt es Befehle mit seinem Befehls- und Steuerungsserver und wartet auf Befehle. “

Dem Bericht zufolge zielt die Malware speziell auf Benutzer von Kryptowährungen ab, um ihre Krypto-Geldbörsen anzugreifen. Dabei wurde festgestellt, dass Opfer beim Kommentieren von Posts im Zusammenhang mit der beliebten Ethereum-Geldbörsen-App Metamask beobachtet wurden. Basierend auf den Beobachtungen der Forscher zum Verhalten der Malware ist es möglich, dass mehr als 6,5 Tausend Menschen kompromittiert wurden.

Wie man es vermeidet

Der erste Schritt ist der beste Schritt. Sie müssen keine dieser Apps herunterladen, Punkt.

Wenn Sie nach neuen Apps suchen, empfiehlt Lopp im Allgemeinen, zwielichtige Websites und Foren zu vermeiden. Installieren Sie nur Software, die bekannt ist und ordnungsgemäß überprüft wurde. Suchen Sie nach Apps mit langjähriger Reputationshistorie und umfangreichen Installationsgrundlagen.

"Verwenden Sie keine Brieftaschen, in denen die privaten Schlüssel auf Ihrem Laptop / Desktop gespeichert sind. Private Schlüssel sollten auf dedizierten Hardwaregeräten gespeichert werden “, sagte Lopp.

Dieser Punkt unterstreicht die Wichtigkeit, Ihre Krypto in kalten Hardware-Geldbörsen zu speichern und Startphrasen aufzuschreiben, anstatt sie nur auf Ihrem Computer zu speichern. Beide Techniken machen sie für Malware unzugänglich, die Ihre Online-Aktivitäten trollt.

Ein Opfer, das die böswillige Aktivität einer der ElectroRAT-Apps kommentiert
(Intezer)

Es gibt sekundäre Schritte, die ausgeführt werden können, wenn Sie glauben, dass Ihr Computer bereits kompromittiert wurde.

„Um sicherzustellen, dass Sie nicht infiziert sind, empfehlen wir [you] Ergreifen Sie proaktive Maßnahmen und scannen Sie Ihre Geräte auf böswillige Aktivitäten “, sagte Mechtinger.

In dem Bericht schlägt Mechtinger vor, dass Sie, wenn Sie glauben, Opfer dieses Betrugs zu sein, die laufenden Prozesse beenden und alle Dateien löschen müssen, die sich auf die Malware beziehen. Sie müssen auch sicherstellen, dass Ihr Computer sauber ist und nicht schädlichen Code ausführt. Intezer hat Endpoint Scanner für Windows-Umgebungen und Intezer Protect entwickelt, ein kostenloses Community-Tool für Linux-Benutzer. Weitere Informationen zur Erkennung finden Sie im Originalbericht.

Und natürlich sollten Sie Ihr Geld in eine neue Krypto-Brieftasche verschieben und alle Ihre Passwörter ändern.

Ein höherer Bitcoin-Preis zieht mehr Malware an

Da der Preis für Bitcoin weiter steigt, sieht Mechtinger keine Verlangsamung dieser Angriffe. Tatsächlich werden sie wahrscheinlich zunehmen.

"Es stehen hohe Hauptstädte auf dem Spiel, was für finanziell motivierte Hacker ein Klassiker ist", sagte sie.

Lopp sagte, wir werden sehen, dass Angreifer immer mehr Ressourcen einsetzen, um neue Wege zu finden, um Menschen von ihren privaten Schlüsseln zu trennen.

"Während die Entwicklung eines neuartigen Angriffs viel größere Anstrengungen erfordert, sind die Belohnungen möglicherweise auch höher, da es wahrscheinlicher ist, dass Menschen getäuscht werden, weil das Wissen über diesen Angriffsstil nicht über die Nutzerbasis verbreitet wurde", sagte er. "Das heißt, die Menschen setzen sich eher unwissentlich dem Angriff aus."

Free Bitcoins: FreeBitcoin | BonusBitcoin

Coins Kaufen: Bitcoin.deAnycoinDirektCoinbaseCoinMama (mit Kreditkarte)Paxfull

Handelsplätze / Börsen: Bitcoin.de | KuCoinBinanceBitMexBitpandaeToro

Lending / Zinsen erhalten: Celsius NetworkCoinlend (Bot)

Cloud Mining: HashflareGenesis MiningIQ Mining

By continuing to use the site, you agree to the use of cookies. more information

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close