In brief
- Intezer Labs ha descubierto malware en aplicaciones fraudulentas de criptomonedas.
- Jamm, eTrade y DaoPoker eran aplicaciones falsas diseñadas para robar las claves de cifrado de los usuarios.
- El malware "ElectroRAT" aparentemente ha afectado al menos a 6.500 usuarios hasta la fecha.
Se ha informado de que miles de usuarios de criptomonedas han sido víctimas de apps que se anunciaban como legítimas, pero que contenían en secreto el malware ElectroRAT que se infiltraba en las computadoras de los usuarios y robaba información, incluidas las llaves privadas de wallets de criptomonedas.
La empresa de seguridad Intezer Labs descubrió y detalló ampliamente el exploit, que ha denominado ElectroRAT, en un informe publicado hoy. El malware fue descubierto por primera vez en diciembre, aunque los datos de un pastebin utilizado por el exploit sugieren que ha estado en estado liberado al menos desde el 8 de enero de 2020.
[1/7] Operation #ElectroRAT is a new campaign that takes sizable measures to steal crypto wallets. For more information about the operation - https://t.co/CWLnOevKir
The following is a technical analysis->@IntezerLabs
— Avigayil Mechtinger (@AbbyMCH) January 5, 2021
La sofisticada campaña involucró un trío de aplicaciones de criptomonedas desarrolladas para Windows, macOS y Linux llamadas Jamm, eTrade (o Kintum) y DaoPoker. Intezer describe a ElectroRAT como "extremadamente intrusivo", capaz de registrar el teclado, descargar y ejecutar archivos, subir archivos y tomar capturas de pantalla sin el conocimiento del usuario.
En su informe, Intezer muestra cómo las aplicaciones de software fueron promovidas y distribuidas a través de foros de criptomonedas y redes sociales como Twitter. En total, basándose en el número de usuarios únicos del "pastebin" del exploit, la firma cree que al menos 6.500 usuarios fueron impactados por el malware.
El software falso fue creado usando la plataforma de construcción de aplicaciones Electron y codificado desde cero en el lenguaje Go, en lugar de usar un código de malware pre-construido y disponible en el mercado. Según Intezer Labs, el uso de Go probablemente facilitó a los creadores el desarrollo rápido de versiones para múltiples plataformas, mientras que ZDNet señala que la complejidad del lenguaje dificulta el análisis y la detección de malware.
"Escribir el malware desde cero también ha permitido al malware evadir el radar durante casi un año evadiendo todas las detecciones de los antivirus", escribe Intezer Labs. Si ha utilizado alguna de las aplicaciones fraudulentas mencionadas anteriormente, Intezer tiene un desglose de cómo detectar los procesos y limpiar su sistema utilizando su software.
La firma también sugiere mover los criptoactivos a una cartera diferente y cambiar todas sus contraseñas.