Actualidad
Spanish Chinese (Traditional) English French German Italian Portuguese Russian Grupo Edefa

Operación ElectroRAT: el atacante que crea empresas falsas para agotar sus billeteras criptográficas

Con Bitcoin en aumento  y un mercado que excede los miles de millones de dólares, la criptomoneda ha atraído a los malhechores informáticos con la mira puesta en tan suculento botín.

En diciembre, descubrimos una operación de amplio alcance dirigida a usuarios de criptomonedas, que se estima que se inició en enero de 2020. Esta extensa operación se compone de una campaña de marketing completa, aplicaciones personalizadas relacionadas con criptomonedas y una nueva herramienta de acceso remoto (RAT) escrita desde cero.

La campaña incluye: registros de dominios, sitios web, aplicaciones con troyanos, cuentas de redes sociales falsas y una nueva RAT no detectada que hemos denominado ElectroRAT . ElectroRAT está escrito en Golang y compilado para apuntar a múltiples sistemas operativos: Windows, Linux y MacOS.

Es bastante común ver a varios ladrones de información tratando de recopilar claves privadas para acceder a las billeteras de las víctimas. Sin embargo, es raro ver herramientas escritas desde cero y utilizadas para apuntar a múltiples sistemas operativos con estos fines.

El atacante responsable de esta operación ha atraído a los usuarios de criptomonedas para que descarguen aplicaciones con troyanos promocionándolas en redes sociales y en diferentes foros. Estimamos que esta campaña ya ha infectado a miles de víctimas, según la cantidad de visitantes únicos a las páginas de pastebin utilizadas para ubicar los servidores de comando y control.

 

La operación

El atacante ha creado tres aplicaciones troyanizadas diferentes, cada una con una versión para Windows, Linux y Mac. Los binarios se alojan en sitios web creados específicamente para esta campaña.

Estas aplicaciones están directamente relacionadas con las criptomonedas. " Jamm " y " eTrade " son aplicaciones de gestión de comercio de criptomonedas, y " DaoPoker " es una aplicación de póquer de criptomonedas . Las figuras 1 y 2 son las páginas de inicio de los sitios web " Jamm " y " eTrade ".  La Figura 3 muestra cómo se ve la aplicación “ eTrade” una vez que se ejecuta en un escritorio de Ubuntu.

Figura 1: Página de inicio de "Kintum" que aloja los troyanos Windows, Linux y MacOS de eTrade

Figura 2: Página de inicio de "Jamm" que aloja los troyanos Windows, Linux y MacOS de Jamm

 

Figura 3: Aplicación eTrade (Kintum) en el escritorio de Ubuntu

Estas aplicaciones se promocionaron en foros relacionados con criptomonedas  y blockchain, como bitcointalk y SteemCoinPan. Las promociones, publicadas por usuarios falsos, tentaron a los lectores a navegar por las páginas web de las aplicaciones, donde podían descargar la aplicación sin saber que en realidad estaban instalando malware.  Las figuras 4 y 5 son ejemplos de las promociones publicadas en estos foros.

Figura 4: El usuario "anri.rixardinh" publica en un foro de Chinese Hive en PeakD  promocionando la aplicación "eTrade"

Figura 5: Aplicación "Jamm" promocionada en el  foro de bitcointalk

El atacante hizo un esfuerzo adicional para crear personas de Twitter y Telegram para la aplicación " DaoPoker ", además de pagarle a un influencer por publicidad. La Figura 6 muestra la  página de Twitter de DaoPoker. La Figura 7 muestra eTrade  promocionado por un anunciante de redes sociales con más de 25.000 seguidores en Twitter.

Figura 6: Twitter de DaoPoker página

 

Figura 7: eTrade (Kintum) promocionado a través de un anunciante de redes sociales en Twitter

Víctimas

Como parte de su flujo de comportamiento, ElectroRAT contacta páginas de pastebin sin procesar para recuperar la dirección IP de C&C. Las páginas de pastebin son publicadas por el mismo usuario llamado “Execmac”. Navegando por la página del usuario, tenemos más visibilidad del número de víctimas objeto de esta campaña. En la Figura 8, podemos ver que la cantidad de visitantes únicos a las pastas del usuario es de aproximadamente 6.5K [en el momento de escribir este artículo]. También podemos ver que las primeras páginas de pastebin se publicaron el 8 de enero de 2020, lo que indica que la operación ha estado activa durante al menos un año.

 

Abriendo una lata de ladrones

La página de pastebin mencionada anteriormente revela más información. Otras pastas publicadas por el mismo usuario contienen C & C directamente vinculados a Amadey y KPOT . Estos malware son ladrones comprados principalmente en la Dark Web como malware estándar. ElectroRAT comparte funcionalidades similares a estos troyanos conocidos, sin embargo, está escrito desde cero en Golang. Suponemos que una razón para esto es apuntar a múltiples sistemas operativos, ya que Golang es increíblemente eficiente para el uso de múltiples plataformas. Escribir el malware desde cero también ha permitido que la campaña vuele bajo el radar durante casi un año al evadir todas las detecciones de Antivirus.

Análisis técnico

Jamm, DaoPoker y eTrade se crearon utilizando Electron, una plataforma de creación de aplicaciones. ElectroRAT está integrado dentro de cada aplicación. Una vez que la víctima ejecuta la aplicación, se abre una GUI inocente, mientras que ElectroRat se ejecuta oculto en segundo plano como "mdworker". La Figura 3 anterior muestra la GUI de la aplicación eTrade en tiempo de ejecución en una máquina de escritorio Ubuntu infectada. La Figura 11 muestra cómo se ve la infección entre bastidores utilizando la plataforma de protección de cargas de trabajo en la nube de Intezer, Intezer Protect.

Figura 11: Alerta de ElectroRAT en Intezer Protect

La aplicación troyanizada y los binarios de ElectroRAT se detectan poco o no se detectan por completo en VirusTotal en el momento de escribir este artículo. La Figura 12 muestra la tasa de detección de la aplicación DaoPoker firmada en VirusTotal.

Figura 12: Aplicación DaoPoker en VirusTotal (2c35bfabc6f441a90c8cc584e834eb59)

ElectroRAT es extremadamente intrusivo. Tiene varias capacidades como registro de teclas, tomar capturas de pantalla, cargar archivos desde el disco, descargar archivos y ejecutar comandos en la consola de la víctima. El malware tiene capacidades similares para sus variantes de Windows, Linux y MacOS.

Detección y respuesta

Detecte si una máquina de su red se ha visto comprometida

Puede detectar rápidamente si su máquina, o una máquina en su red, ha sido comprometida por malware usando Intezer Protect e Intezer Analyze Endpoint Scanner :

-Máquinas Linux

Las amenazas de Linux van en aumento. Utilice Intezer Protect  para obtener visibilidad completa en tiempo de ejecución sobre el código en sus sistemas basados ​​en Linux y reciba alertas sobre cualquier código malicioso o no autorizado. Tenemos una edición comunitaria gratuita .

La Figura 10 anterior enfatiza una alerta de Intezer Protect en una máquina comprometida. La alerta le proporciona un contexto completo sobre el código malicioso, incluida la clasificación de amenazas, la ruta del binario en el disco, el árbol de procesos, el comando y el hash.

-Máquinas Windows

La ejecución del Endpoint Scanner de Intezer le proporcionará visibilidad del tipo y origen de todo el código binario que reside en la memoria de su máquina. La Figura 13 muestra un ejemplo de un punto final infectado con ElectroRAT.

Figura 13: Endpoint infectado con ElectroRAT

Respuesta

Si fue o sospecha que es víctima de esta estafa, siga los siguientes pasos:

-Termine el proceso y elimine todos los archivos relacionados con el malware.

-Asegúrese de que su máquina esté limpia y ejecutando un código 100% confiable utilizando las herramientas de Intezer mencionadas anteriormente.

-Mueva sus fondos a una nueva billetera.

-Cambie todas sus contraseñas.

También puede ejecutar esta regla YARA  contra artefactos en memoria para detectar ElectroRAT.

Envolver

Es muy poco común ver una RAT escrita desde cero y utilizada para robar información personal de usuarios de criptomonedas. Es aún más raro ver una campaña tan amplia y dirigida que incluya varios componentes, como aplicaciones / sitios web falsos y esfuerzos de marketing / promoción a través de foros relevantes y redes sociales.

ElectroRAT es el último ejemplo de atacantes que utilizan Golang para desarrollar malware multiplataforma. Hablamos de esta tendencia en las principales amenazas en la nube de Linux de 2020 .

Las  versiones PE y ELF de ElectroRAT están indexadas en Intezer Analyze  para que pueda clasificar rápidamente cualquier muestra que sea genéticamente similar.

 

Fuente: INTEZER


Copyright © Grupo Edefa S.A. Prohibida la reproducción total o parcial de este artículo sin permiso y autorización previa por parte de la empresa editora.