Исследователь компании Intezer Авигайила Мехтингера представил отчет о вредоносной программе ElectroRAT, которая уже год обчищает криптокошельки пользователей. Программа кросс-платформенная и охватывает macOS, Linux и Windows.
ПО включает в себя множество инструментов для обмана, включая различные рекламные предложения, поддельные сайты, аккаунты-боты в соцсетях, и т. д., но основным является инструмент удаленного доступа (RAT), созданный на платформе Electron.
Чтобы заманить жертв, злоумышленники создали три разных домена и три приложения, работающие в разных операционных системах. Приложения Jamm и eTrade предназначены для торговли криптовалютами, в то время как DaoPoker — это покер с использованием криптовалюты. Приложения активно продвигаются социальных сетях, платно рекламируются на всевозможных сайтах, в том числе на форумах по криптовалюте и блокчейн, таких как хорошо известные bitcointalk и SteemCoinPan. Посты побуждали читателей переходить на профессионально выглядящие сайты и скачивать приложения. Окна установки приложений тоже созданы очень грамотно и выглядят вполне легально.
Интересно, что некоторые антивирусные программы, например VirusTotal, не могут найти ничего подозрительного во всех трех приложениях.
«Хакеры хотят заполучить вашу криптовалюту, и они готовы зайти далеко — потратить месяцы работы на создание фальшивых компаний, фальшивой репутации и невинно выглядящих приложений, которые скрывают вредоносные программы для кражи ваших криптовалют», — сказал Мехтингер.
ElectroRAT делает снимки экрана, устанавливает кейлогер, скачивает папки/файлы с компьютера, выполняет команды на консоли и ждет дальнейших команд от своего оператора. В особенности злоумышленников интересуют пользователи кошелька Metamask — согласно исследователю, жертвами ElectroRAT стали более 6,5 тысяч его пользователей.