Malware hat es seit einem Jahr auf Krypto-Wallets

Diese schwer fassbare Malware hat es seit einem Jahr auf Krypto-Wallets abgesehen

Die heimtückische Malware ElectroRAT, die seit einem Jahr in Betrieb ist, bringt das Jahr 2020 ins Jahr 2021 und hat es auf Krypto-Wallets abgesehen.

Ein Forscher der Cybersecurity-Firma Intezer hat das Innenleben von ElectroRAT identifiziert und dokumentiert, das es auf die Gelder der Opfer abgesehen hat und diese abzieht.

Laut dem Forscher, Avigayil Mechtinger, beinhaltet die Malware-Operation eine Vielzahl von detaillierten Werkzeugen, die laut Bitcoin Superstar die Opfer täuschen, einschließlich einer „Marketing-Kampagne, benutzerdefinierte Kryptowährungs-bezogene Anwendungen und ein neues Remote Access Tool (RAT), das von Grund auf neu geschrieben wurde.“

Die Malware wird ElectroRAT genannt, weil es sich um ein Fernzugriffs-Tool handelt, das in Apps eingebettet wurde, die auf Electron, einer Plattform zur Erstellung von Apps, gebaut wurden. Daher ElectroRAT.

„Es ist nicht überraschend, dass neuartige Malware veröffentlicht wird, besonders während eines Bullenmarktes, in dem der Wert von Kryptowährungen in die Höhe schießt und solche Angriffe profitabler macht“, sagte Jameson Lopp, Chief Technology Officer (CTO) beim Krypto-Custody-Startup Casa.

In den letzten Monaten sind Bitcoin (BTC, +5,7%) und andere Kryptowährungen in einen Bullenmarkt eingetreten, der die Preise in der gesamten Branche in die Höhe schießen ließ.

Was ist ElectroRAT?

Die ElectroRat-Malware ist in der Open-Source-Programmiersprache Golang geschrieben, die für plattformübergreifende Funktionalität gut ist und auf mehrere Betriebssysteme abzielt, darunter macOS, Linux und Windows.

Als Teil der Malware-Operation richteten die Angreifer „Domain-Registrierungen, Websites, trojanisierte Anwendungen und gefälschte Social-Media-Konten“ ein, heißt es in dem Bericht.

In dem Bericht merkt Mechtinger an, dass Angreifer zwar üblicherweise versuchen, private Schlüssel zu sammeln, die für den Zugriff auf die Geldbörsen von Nutzern verwendet werden, dass aber Original-Tools wie ElectroRAT und die verschiedenen Anwendungen, die von Grund auf neu geschrieben wurden und auf mehrere Betriebssysteme abzielen, eher selten sind.

„Die Malware von Grund auf neu zu schreiben, hat es der Kampagne auch ermöglicht, fast ein Jahr lang unter dem Radar zu fliegen, indem sie sich allen Antiviren-Erkennungen entzogen hat“, schreibt Mechtinger in dem Bericht.

Lopp schloss sich diesen Kommentaren an und sagte, es sei besonders interessant, dass die Malware für alle drei großen Betriebssysteme kompiliert wurde und auf diese abzielt.

„Der Großteil der Malware neigt dazu, nur für Windows zu sein, da es eine große Installationsbasis hat und die Sicherheit des Betriebssystems schwächer ist“, so Lopp. „Im Fall von Bitcoin denken die Malware-Autoren vielleicht, dass viele frühe Anwender eher technische Menschen sind, die Linux benutzen.“

Wie es funktioniert

Um Opfer anzulocken, erstellten die ElectroRat-Angreifer drei verschiedene Domains und Apps, die auf mehreren Betriebssystemen laufen.

Die Seiten zum Herunterladen der Apps wurden speziell für diese Operation erstellt und so gestaltet, dass sie wie legitime Unternehmen aussehen.

Die zugehörigen Apps sprechen speziell Nutzer von Kryptowährungen an und zielen auf diese ab. „Jamm“ und „eTrade“ sind Handelsmanagement-Apps; „DaoPoker“ ist eine Poker-App, die Kryptowährung verwendet.

Mit gefälschten sozialen Medien und Benutzerprofilen sowie der Bezahlung eines Social-Media-Influencers für ihre Werbung pumpten die Angreifer die Apps, einschließlich der Förderung in gezielten Kryptowährungs- und Blockchain-Foren wie bitcointalk und SteemCoinPan. Die Beiträge ermutigten die Leser, sich die professionell aussehenden Websites anzusehen und die Apps herunterzuladen, während sie in Wirklichkeit auch die Malware herunterluden.