حداقل 6500 کاربر رمزارزها با بدافزاری به نام الکترورت (ElectroRAT) آلوده شده‌اند. این بدافزار به شکل تروجان در اپلیکیشن‌های سیستم‌عامل‌های مختلف از قبیل macOS، ویندوز و لینوکس پنهان می‌شود.

این تروجان دسترسی از راه دور (RAT) ابتدا کلید خصوصی کاربران را می‌رباید و سپس با استفاده از این کلید رمزارز آنها را سرقت می‌کند. این کمپین در دسامبر 2020 کشف شده است اما پژوهشگران معتقد اند از یک سال قبل مشغول فعالیت بوده است. بر اساس تعداد بازدیدکنندگان یکتای صفحات Pastebin بدافزار، تخمین زده می‌شود که دستکم 6500 نفر قربانی شده باشند. بدافزار از صفحات Pastebin برای یافتن سرورهای کنترل و فرمان (C&C) استفاده می‌کند.

به گفته محققان Intezer «این [بدافزار] دارای قابلیت‌های مختلفی مثل ثبت کلیدهای فشرده شده، گرفتن عکس از صفحه نمایش، آپلود فایل از دیسک، دانلود فایل و اجرای دستور روی کنسول قربانی را دارد. گونه‌های ویندوز، لینوکس و macOS این بدافزار قابلیت‌های مشابهی دارند.»

نحوه حمله

مهاجم پشت این کمپین ابتدا کاربران را به دانلود اپلیکیشن‌های آلوده به تروجان تشویق می‌کرده است. این اپلیکیشن‌ها در فروم‌های (انجمن‌های اینترنتی) مربوط به رمزارز از قبیل bitcointalk و SteemCoinPan تبلیغ می‌شدند. این اپلیکیشن‌ها Jamm، eTrade و DaoPoker نام دارند که دو مورد اول برای مدیریت رمزارز و مورد سوم برای بازی پوکر با استفاده از رمزارز به کار می‌روند.

«اپلیکیشن‌های آلوده به تروجان توسط مهاجم توسعه داده شده و روی وب‌سایت‌هایی قرار گرفته‌اند که آنها نیز توسط مهاجم توسعه داده شده‌اند». با اینکه این اپلیکیشن‌ها کار می‌کنند، اما «الکترورت درون این اپلیکیشن‌ها جاسازی شده. بنابراین موقع اجرا، کاربر رابط گرافیکی اپلیکیشن را می‌بیند، اما الکترورت در پس‌زمینه مخفیانه اجرا می‌شود.»

مهاجم پا را از این فراتر گذاشته و برای نرم‌افزار DaoPoker اکانت‌های تلگرام و توییتر ساخته است و حتی به فردی با 25 هزار فالوئر در توییتر مبلغی پرداخته است تا نرم‌افزارهای حاوی تروجان را تبلیغ کند.

وقتی کاربر برنامه را اجرا می‌کند، الکترورت با عنوان mdworker به طور مخفیانه در پس‌زمینه اجرا می‌شود. سپس کلیدهای رمزنگاری خصوصی قربانی را سرقت می‌کند. کلید خصوصی به کاربر اجازه می‌دهد به کیف پول خود دسترسی داشته باشد. مهاجم با داشتن این کلید می‌تواند کنترل کیف پول قربانی را به دست گیرد.

کاربران احتمالی این کمپین باید همه فایل‌های مربوط به بدافزار را پاک کنند، دارایی خود را به یک کیف جدید منتقل کرده و همه گذرواژه‌های خود را عوض کنند.

علاقه‌مندی روزافزون مجرمان به زبان گو

محققان اظهار داشتند که الکترورت آخرین نمونه استفاده از زبان گو (Go) برای توسعه بدافزار چند پلتفرمه است. گونه‌های دیگری از بدافزار به زبان گو که قبلاً کشف شده‌اند عبارت اند از در پشتی Blackrota و یک کرم استخراج ارز غیرمجاز.

به قول محققان، بسیار به ندرت پیش می‌آید که RATهایی دیده شوند که از پایه برای سرقت اطلاعات شخصی کاربران رمزارزها نوشته شده باشند. کمپین‌های به این گستردگی و هدفمندی که از نرم‌افزارها و وب‌سایت‌های جعلی استفاده می‌کنند و حتی برای گسترش بدافزار اقدامات تبلیغی و بازاریابی انجام می‌دهند نیز بسیار نادر هستند.