Badacze znaleźli nowego trojana zdalnego dostępu (RAT) napisanego od podstaw w Golangu, który zachęca do pobierania aplikacji w postaci trojanów na komputerach z systemem Windows, Mac i Linux, promując je na dedykowanych forach internetowych i w mediach społecznościowych.
Badacze szacują, że pierwsze próby ataków ukierunkowanych na posiadaczy kryptowalut miało miejsce w grudniu 2020 roku, ale cała akcja rozpoczęła się już w styczniu 2020 roku. Kampania obejmuje rejestracje domen, strony internetowe, aplikacje typu trojan, fałszywe konta w mediach społecznościowych oraz nowy niewykryty RAT, zwany ElectroRAT.
„Raczej często zdarza się, że różne osoby kradnące informacje próbują zebrać prywatne klucze, aby uzyskać dostęp do portfeli ofiar” – twierdzą badacze. „Rzadko zdarza się jednak, by narzędzia napisane od zera i wykorzystywane do tych celów przez różne systemy operacyjne były tak skuteczne”.
John Hammond, starszy badacz bezpieczeństwa w Huntress, powiedział, że Golang bardzo dobrze zarządza zgodnością i może zostać skompilowany na praktycznie wszystkie nowoczesne systemy operacyjne – co czyni go bardziej efektywnym i w praktyce – znacznie potężniejszą bronią dla hakerów.
Krishnan Subramanian, badacz w Menlo Security, dodał, że to dość niezwykłe, aby odkryć nowe RAT-y napisane od podstaw. Subramanian stwierdził, że autorzy złośliwego oprogramowania zazwyczaj wolą używać kodu ponownie, ponieważ pozwala to zaoszczędzić czas, a napastnicy mogą skoncentrować swoje wysiłki na wymyśleniu mechanizmów pozwalających na uniknięcie wykrycia.
„RAT-y międzyplatformowe są zawsze bardziej skuteczne niż RAT-y specyficzne dla danej platformy, ponieważ atakujący nie muszą polegać na zależnościach specyficznych dla danego systemu operacyjnego, aby wdrożyć/współdziałać z funkcjonalnością RAT-ów”, powiedział Subramanian. „W środowisku korporacyjnym dość często obserwuje się używanie innych systemów operacyjnych, takich jak Linux/MacOS, innych niż Windows, co naraża na ryzyko większej liczby potencjalnych kandydatów do infekcji”.
Czytaj podobne
Grupa hakerów (prawdopodobnie) z Białorusi włamała się na serwery rosyjskiego Roskomnadzoru
Największe na świecie naruszenia danych i ataki hakerskie
Chińscy hakerzy wykorzystują Dysk Google do umieszczania złośliwego oprogramowania w sieciach rządowych