استهدفت هذه البرامج الضارة المراوغة محافظ العملات الرقمية لمدة عام

تعمل البرامج الضارة الخبيثة ElectroRAT التي تعمل لمدة عام حتى الآن على إدخال عام 2020 إلى عام 2021 واستهداف محافظ العملات المشفرة.

باحث في شركة الأمن السيبراني Intezer لديه محددة وموثقة الأعمال الداخلية لـ ElectroRAT ، والتي كانت تستهدف وتستنزف أموال الضحايا.

وفقًا للباحث ، Avigayil Mechtinger ، تتضمن عملية البرامج الضارة مجموعة متنوعة من الأدوات التفصيلية التي تخدع الضحايا ، بما في ذلك “حملة تسويقية وتطبيقات مخصصة متعلقة بالعملات المشفرة وأداة وصول عن بُعد جديدة (RAT) مكتوبة من البداية”.

يُطلق على البرنامج الضار اسم ElectroRAT لأنه أداة وصول عن بُعد تم تضمينها في تطبيقات مبنية عليها إلكترون، نظام أساسي لبناء التطبيقات. ومن ثم ، ElectroRAT.

قال جيمسون لوب ، كبير مسؤولي التكنولوجيا (CTO) في شركة Crypto Custo الناشئة: “ليس من المستغرب أن نرى برامج ضارة جديدة يتم نشرها ، خاصة خلال السوق الصاعدة التي ترتفع فيها قيمة العملة المشفرة وتجعل مثل هذه الهجمات أكثر ربحية”. منزل.

على مدار الأشهر القليلة الماضية ، دخلت عملة البيتكوين وغيرها من العملات المشفرة سوقًا صاعدًا ، مما أدى إلى ارتفاع الأسعار في جميع أنحاء الصناعة.

تمت كتابة البرامج الضارة ElectroRat بلغة البرمجة مفتوحة المصدر Golang ، وهي مفيدة للوظائف عبر الأنظمة الأساسية وتستهدف أنظمة تشغيل متعددة ، بما في ذلك macOS و Linux و Windows.

وكجزء من عملية البرمجيات الخبيثة ، أنشأ المهاجمون “تسجيلات المجال ، والمواقع الإلكترونية ، وتطبيقات طروادة وحسابات وسائط اجتماعية مزيفة” ، وفقًا للتقرير.

في التقرير ، يشير Mechtinger إلى أنه بينما يحاول المهاجمون عادةً جمع المفاتيح الخاصة المستخدمة للوصول إلى محافظ الأشخاص ، فإن رؤية الأدوات الأصلية مثل ElectroRAT والتطبيقات المختلفة المكتوبة “من البداية” واستهداف أنظمة تشغيل متعددة أمر نادر الحدوث.

كتب Mechtinger في التقرير: “لقد سمحت كتابة البرامج الضارة من الصفر للحملة بالتحليق تحت الرادار لمدة عام تقريبًا عن طريق التهرب من جميع عمليات اكتشاف برامج مكافحة الفيروسات”.

ردد Lopp هذه التعليقات ، وقال إنه من المثير للاهتمام بشكل خاص أن يتم تجميع البرامج الضارة واستهدافها لجميع أنظمة التشغيل الرئيسية الثلاثة.

قال لوب: “تميل غالبية البرامج الضارة إلى أن تكون خاصة بنظام Windows فقط نظرًا لقاعدة التثبيت الواسعة وضعف أمان نظام التشغيل”. “في حالة عملة البيتكوين ، قد يعتقد مؤلفو البرامج الضارة أن الكثير من المستخدمين الأوائل هم أشخاص أكثر تقنيًا يستخدمون Linux.”

لجذب الضحايا ، أنشأ مهاجمو ElectroRat ثلاثة مجالات وتطبيقات مختلفة تعمل على أنظمة تشغيل متعددة.

تم إنشاء صفحات تنزيل التطبيقات خصيصًا لهذه العملية وتم تصميمها لتبدو وكأنها كيانات شرعية.

التطبيقات المرتبطة تروق على وجه التحديد وتستهدف مستخدمي العملات المشفرة. “Jamm” و “eTrade” هي تطبيقات إدارة التجارة ؛ “DaoPoker” هو تطبيق بوكر يستخدم العملة المشفرة.

باستخدام وسائل التواصل الاجتماعي المزيفة وملفات تعريف المستخدمين ، بالإضافة إلى الدفع لأحد المؤثرين على وسائل التواصل الاجتماعي مقابل إعلاناتهم ، قام المهاجم بضخ التطبيقات ، بما في ذلك الترويج لها في منتديات العملات المشفرة والبلوك تشين المستهدفة مثل بيتكوينتالك و SteemCoinPan. شجعت المنشورات القراء على النظر إلى مواقع الويب ذات المظهر الاحترافي وتنزيل التطبيقات في حين أنهم في الواقع يقومون أيضًا بتنزيل البرامج الضارة.

على سبيل المثال ، كان لصفحة DaoPoker Twitter 417 متابعًا بينما قام معلن على وسائل التواصل الاجتماعي بأكثر من 25000 متابع على Twitter بالترويج لـ eTrade. اعتبارًا من كتابة هذا التقرير ، كان ملف صفحة تويتر DaoPoker لا يزال حيا.

بينما تبدو التطبيقات شرعية للوهلة الأولى في الواجهة الأمامية ، فإنها تدير أنشطة خلفية شائنة ، وتستهدف محافظ العملات المشفرة للمستخدمين. هم أيضا لا يزالون نشيطين.

قال Mechtinger: “يريد المتسللون الحصول على عملتك المشفرة ، وهم على استعداد للمضي قدمًا في ذلك – قضاء شهور من العمل لإنشاء شركات مزيفة ، وسمعة مزيفة وتطبيقات بريئة المظهر تخفي البرامج الضارة لسرقة عملاتك”.

“ElectroRAT لديها قدرات مختلفة ،” قال Mechtinger في رسالة بريد إلكتروني. “يمكن أن يأخذ لقطات شاشة وسجلات مفاتيح وتحميل مجلدات / ملفات من جهاز الضحية والمزيد. عند التنفيذ ، يقوم بإنشاء أوامر مع خادم القيادة والتحكم الخاص به وينتظر الأوامر “.

يشير التقرير إلى أن البرامج الضارة تستهدف على وجه التحديد مستخدمي العملات المشفرة بغرض مهاجمة محافظهم المشفرة ، مشيرًا إلى أنه تمت ملاحظة الضحايا وهم يعلقون على المنشورات المتعلقة بتطبيق Metamask الشهير لمحفظة Ethereum. بناءً على ملاحظات الباحثين حول سلوكيات البرمجيات الخبيثة ، من الممكن أن يكون أكثر من 6.5 ألف شخص قد تعرضوا للاختراق.

الخطوة الأولى هي أفضل خطوة وهي عدم تنزيل أي من هذه التطبيقات ، توقف تام.

بشكل عام ، عندما تبحث عن تطبيقات جديدة ، يقترح Lopp تجنب المواقع والمنتديات المشبوهة. قم فقط بتثبيت البرامج المعروفة والمراجعة بشكل صحيح ؛ ابحث عن تطبيقات ذات تاريخ سمعة طويل وقواعد تثبيت كبيرة.

“لا تستخدم المحافظ التي تخزن المفاتيح الخاصة على الكمبيوتر المحمول / سطح المكتب ؛ يجب تخزين المفاتيح الخاصة على أجهزة مخصصة “، قال لوب.

تعزز هذه النقطة أهمية تخزين العملات المشفرة في محافظ الأجهزة الباردة وتدوين العبارات الأولية بدلاً من مجرد تخزينها على جهاز الكمبيوتر الخاص بك. كلتا الطريقتين تجعلهما غير قابلين للوصول إلى البرامج الضارة التي تتصيد نشاطك عبر الإنترنت.

هناك خطوات ثانوية يمكن اتخاذها إذا كنت تعتقد أن جهاز الكمبيوتر الخاص بك قد تعرض بالفعل للاختراق.

“للتأكد من أنك غير مصاب نوصي [you] اتخذ إجراءات استباقية وافحص أجهزتك بحثًا عن أي نشاط ضار ، “قال ميتشتنغر.

في التقرير ، يقترح Mechtinger أنه إذا كنت تعتقد أنك ضحية لعملية الاحتيال هذه ، فأنت بحاجة إلى إنهاء العمليات الجارية وحذف جميع الملفات المتعلقة بالبرامج الضارة. تحتاج أيضًا إلى التأكد من أن جهازك نظيف ويعمل برمز غير ضار. لقد خلقت Intezer ماسح نقطة النهاية لبيئات Windows و Intezer Protect، أداة مجتمع مجانية لمستخدمي Linux. يمكن العثور على مزيد من المعلومات التفصيلية حول الاكتشاف في التقرير الأصلي.

وبالطبع ، يجب عليك نقل أموالك إلى محفظة تشفير جديدة وتغيير جميع كلمات المرور الخاصة بك.

مع استمرار ارتفاع سعر البيتكوين ، لا ترى Mechtinger أن مثل هذه الهجمات تتباطأ. في الواقع ، من المحتمل أن تزداد.

وقالت: “هناك رؤوس أموال كبيرة على المحك ، وهو أمر كلاسيكي للقراصنة ذوي الدوافع المالية”.

قال لوب إننا سنرى المهاجمين يكرسون موارد أكبر وأكبر للتوصل إلى طرق جديدة لفصل الأشخاص عن مفاتيحهم الخاصة.

وقال: “في حين أن تطوير هجوم جديد يتطلب جهدًا أكبر بكثير ، إلا أنه من المحتمل أيضًا أن تكون المكافآت أعلى لأنه من المرجح أن يخدع الناس لأن المعرفة بهذا النمط من الهجوم لم يتم نشرها من خلال قاعدة المستخدمين”. وهذا يعني أن الناس أكثر عرضة للهجوم دون علمهم.