Beroperasi selama setahun, malware berbahaya ElectroRAT menargetkan wallet kripto.
Seorang peneliti di perusahaan keamanan siber Intezer telah mengidentifikasi dan mendokumentasikan cara kerja ElectroRAT, yang telah menargetkan dan menguras dana para korban.
Malware tersebut disebut ElectroRAT karena ini adalah alat akses jarak jauh yang tertanam dalam aplikasi yang dibangun di atas Electron , sebuah platform pembuat aplikasi. Karenanya, ElectroRAT.
Apa itu ElectroRAT?
Malware ElectroRat ditulis dalam bahasa pemrograman sumber terbuka Golang, yang bagus untuk fungsionalitas lintas platform dan ditargetkan pada beberapa sistem operasi, termasuk macOS, Linux, dan Windows.
Sebagai bagian dari operasi malware, para penyerang menyiapkan “pendaftaran domain, situs web, aplikasi trojan, dan akun media sosial palsu,” menurut laporan itu.
“Sebagian besar nilai malware cenderung hanya untuk Windows karena basis pemasangan yang luas dan keamanan sistem operasi yang lebih lemah,” kata Lopp. “Dalam kasus bitcoin, pembuat malware mungkin beralasan bahwa banyak pengguna awal adalah orang-orang yang lebih teknis yang menjalankan Linux.”
Bagaimana malware itu bekerja ?
Untuk memikat korban, penyerang ElectroRat membuat tiga domain dan aplikasi berbeda yang beroperasi di beberapa sistem operasi.
Halaman untuk mengunduh aplikasi dibuat khusus untuk operasi ini dan dirancang agar terlihat seperti entitas yang sah.
Aplikasi terkait secara khusus menarik dan menargetkan pengguna cryptocurrency. “Jamm” dan “eTrade” adalah aplikasi manajemen perdagangan; “DaoPoker” adalah aplikasi poker yang menggunakan cryptocurrency.
Menggunakan media sosial palsu dan profil pengguna, serta membayar influencer media sosial untuk iklan mereka, penyerang memompa aplikasi, termasuk mempromosikannya di cryptocurrency yang ditargetkan dan forum blockchain seperti bitcointalk dan SteemCoinPan . Postingan tersebut mendorong pembaca untuk melihat situs web yang tampak profesional dan mengunduh aplikasinya ketika, pada kenyataannya, mereka juga mengunduh malware.
Misalnya, halaman Twitter DaoPoker memiliki 417 pengikut, sedangkan pengiklan media sosial dengan lebih dari 25.000 pengikut di Twitter mempromosikan eTrade. Pada saat penulisan, halaman twitter DaoPoker sudah tidak aktif .
“ElectroRAT memiliki berbagai kemampuan,” kata Mechtinger melalui email. “Itu bisa mengambil screenshot, key log, mengupload folder / file dari mesin korban dan banyak lagi. Setelah dieksekusi, itu membuat perintah dengan command-and control-server dan menunggu perintah. ”
Lalu, bagaimana cara menghindarinya ?
Langkah pertama adalah langkah terbaik dan itu bukan untuk mengunduh salah satu aplikasi ini.
Secara umum, saat Anda mencari aplikasi baru, Lopp menyarankan untuk menghindari situs web dan forum yang teduh. Instal hanya software yang terkenal dan ditinjau dengan benar; cari aplikasi dengan riwayat reputasi yang panjang dan basis penginstalan yang cukup besar.
“Jangan gunakan dompet yang menyimpan kunci pribadi di laptop / desktop Anda; kunci pribadi harus disimpan di hardware khusus, ”kata Lopp.
Ada langkah-langkah sekunder yang dapat diambil jika menurut Anda komputer Anda mungkin telah disusupi.
“Untuk memastikan Anda tidak terinfeksi, kami menyarankan [Anda] mengambil tindakan proaktif dan memindai perangkat Anda untuk aktivitas berbahaya,” kata Mechtinger.
Dalam laporan tersebut, Mechtinger menyarankan bahwa jika Anda merasa menjadi korban penipuan ini, Anda perlu mematikan proses yang sedang berjalan dan menghapus semua file yang terkait dengan malware. Anda juga perlu memastikan mesin Anda bersih dan menjalankan kode yang tidak berbahaya. Intezer telah membuat Pemindai Titik Akhir untuk lingkungan Windows dan Intezer Protect , alat komunitas gratis untuk pengguna Linux. Informasi lebih rinci tentang deteksi dapat ditemukan di laporan asli.
Dan, tentu saja, Anda harus memindahkan dana Anda ke dompet kripto baru dan mengubah semua kata sandi Anda.