Las elevadas valoraciones de las criptomonedas han batido récord tras récord en los últimos años, convirtiendo a las personas con participaciones que alguna vez fueron modestas en millonarios de la noche a la mañana. Un grupo determinado de delincuentes ha intentado unirse a la fiesta utilizando una operación de amplio alcance que durante los últimos 12 meses ha utilizado una campaña de marketing completa para impulsar malware personalizado escrito desde cero para dispositivos Windows, macOS y Linux.
La operación, que ha estado activa desde al menos enero de 2020, no ha escatimado esfuerzos para robar las direcciones de billetera de los poseedores de criptomonedas involuntarios, según un reporte
Inusualmente sigiloso
Las aplicaciones se hacen pasar por un software benigno que es útil para los poseedores de criptomonedas. Escondido dentro hay un troyano de acceso remoto que fue escrito desde cero. Una vez que se instala una aplicación, ElectroRAT, como Intezer ha denominado la puerta trasera, permite que los delincuentes detrás de la operación registren las pulsaciones de teclas, tomen capturas de pantalla, carguen, descarguen e instalen archivos y ejecuten comandos en las máquinas infectadas. En un testimonio de su sigilo, las aplicaciones de criptomonedas falsas no fueron detectadas por los principales productos antivirus.
“Es muy poco común ver una RAT escrita desde cero y utilizada para robar información personal de los usuarios de criptomonedas”, escribieron los investigadores en el informe de Intezer. “Es aún más raro ver una campaña tan amplia y dirigida que incluya varios componentes, como aplicaciones y sitios web falsos, y esfuerzos de marketing / promoción a través de foros relevantes y redes sociales”.
Las tres aplicaciones que se utilizaron para infectar objetivos se llamaron “Jamm”, “eTrade” y “DaoPoker”. Las dos primeras aplicaciones afirmaron ser una plataforma de comercio de criptomonedas. La tercera era una aplicación de póquer que permitía realizar apuestas con criptomonedas.
Los delincuentes utilizaron campañas promocionales falsas en foros relacionados con las criptomonedas, como bitcointalk y SteemCoinPan. Las promociones, que fueron publicadas por usuarios falsos de redes sociales, llevaron a uno de tres sitios web, uno para cada una de las aplicaciones troyanizadas disponibles. ElectroRAT está escrito en el lenguaje de programación Go.
La siguiente imagen resume la operación y las diversas piezas que utilizó para apuntar a los usuarios de criptomonedas:
Intezer
Seguimiento de Execmac
ElectroRAT usa páginas Pastebin publicadas por un usuario llamado “Execmac” para localizar su servidor de comando y control. Los usuarios página de perfil muestra que desde enero de 2020 las páginas han recibido más de 6.700 páginas vistas. Intezer cree que el número de aciertos corresponde aproximadamente al número de personas infectadas.
La firma de seguridad dijo que Execmac en el pasado ha tenido vínculos con los troyanos de Windows Amadey y KPOT, que están disponibles para su compra en foros clandestinos.
“Una razón detrás de esto [change] podría ser apuntar a múltiples sistemas operativos ”, especuló la publicación de Intezer. “Otro factor de motivación es que se trata de un malware Golang desconocido, que ha permitido que la campaña vuele por debajo del radar durante un año al evadir todas las detecciones de antivirus”.
La mejor manera de saber si ha sido infectado es buscar la instalación de cualquiera de las tres aplicaciones mencionadas anteriormente. La publicación de Intezer también proporciona enlaces que los usuarios de Windows y Linux pueden usar para detectar ElectroRAT ejecutándose en la memoria. Las personas que han sido infectadas deben desinfectar sus sistemas, cambiar todas las contraseñas y transferir fondos a una nueva billetera.