Исследователи обнаружили новый троян удаленного доступа (RAT), написанный с нуля на Golang, который побуждает пользователей криптовалюты загружать троянские приложения на компьютеры Windows, Mac и Linux, продвигая приложения на специализированных онлайн-форумах и в социальных сетях.
Intezer подсчитал, что новая кампания RAT уже заразила тысячи жертв, основываясь на количестве уникальных посетителей страниц pastebin, используемых для поиска командных и управляющих серверов.
Исследователи говорят, что они впервые обнаружили операцию, нацеленную на пользователей криптовалюты, в декабре 2020 года, но операция началась в январе 2020 года. Кампания включает в себя регистрации доменов, веб-сайты, троянизированные приложения, поддельные учетные записи в социальных сетях и новый необнаруженныq RAT, получивший название ElectroRAT.
Довольно часто можно увидеть, как различные кражи информации пытаются собрать закрытые ключи для доступа к кошелькам жертв. Однако редко можно увидеть инструменты, написанные с нуля и используемые для этих целей в нескольких операционных системах.
Джон Хаммонд, старший исследователь безопасности в Huntress, сказал, что Golang очень хорошо управляет параллелизмом и может компилироваться практически во все современные операционные системы, что делает его более эффективным и гораздо более мощным оружием для хакеров.
«Мы часто подшучиваем над «детишками-скриптами», которые хватают готовый набор инструментов или фреймворк в даркнете, так как это вредоносное ПО вполне может быть обнаружено коммерческими антивирусами или продуктами безопасности», — сказал Хаммонд. «Эти хакеры низкого уровня, безусловно, обычны, но растет число более изощренных злоумышленников, которые могут создавать свои собственные инструменты и методы. Если злоумышленник знает, что он делает, и понимает, с чем он борется, он напишет свою RAT с нуля ».
Кришнан Субраманиан, исследователь из Menlo Security, добавил, что довольно необычно найти новые RAT, написанные с нуля. Субраманиан сказал, что авторы вредоносных программ обычно предпочитают повторно использовать код, потому что это экономит время, и злоумышленники могут сосредоточить свои усилия на разработке механизмов, позволяющих избежать обнаружения.
Кросс-платформенные RAT всегда более эффективны, чем специфичные для платформы, поскольку злоумышленникам не нужно полагаться на зависимости операционной системы для развертывания / взаимодействия с функциональностью RAT. В корпоративной среде довольно часто можно увидеть, что другие операционные системы, такие как Linux / MacOS, используются помимо Windows, что выявляет большее количество потенциальных кандидатов на заражение.
