נחשף פוגען ייעודי לגניבת ארנקי מטבעות קריפטוגרפיים
מאת:
מערכת Telecom News, 12.1.21, 20:20
הפוגען מכונה ElectroRAT, כתוב בשפת Go, ומיועד להרצה על מערכות ההפעלה Windows, macOS ו-Linux. הפוגען הותקן בתוך 3 יישומים. איך זה עובד ואיך מתמודדים?
חברת
Intezer פרסמה לאחרונה מידע לגבי פוגען ייעודי לגניבת ארנקי מטבעות קריפטוגרפיים. על פי הפרסום, הפוגען היה פעיל במשך כשנה ופגע בכ-6,500 משתמשים בעולם. כך דיווח מערך הסייבר הלאומי.
הפוגען מכונה
ElectroRAT, כתוב בשפת
Go, ומיועד להרצה על מערכות ההפעלה
Windows, macOS ו-
Linux.
הפוגען הותקן בתוך 3 יישומים, שנכתבו ע"י התוקפים. שניים מהיישומים (
Jamm ו-
eTrade) יועדו להתחזות כתוכנות לניהול מסחר במטבעות קריפטוגרפיים, ויישום נוסף (
DaoPoker) הוא משחק פוקר מבוסס מטבע קריפטוגרפי.
לאחר התקנת היישומים והפעלתם, הם מציגים מסכים המותאמים לסוג היישום, אך ברקע מפעילים את הפוגען. הרצת הפוגען מתבצעת באמצעות תהליך בשם
mdworker. הפוגען מנסה לגנוב נתוני גישה לאתרי מסחר ומפתחות פרטיים.
הפוגען מתקשר עם עמודים ספציפיים באתר
pastebin לקבלת הכתובת של שרת ה-
C2. עמודים נוספים, שהועלו ע"י אותו משתמש, מלמדים על שימוש התוקפים גם בפוגענים מוכרים בשם
KPOT ו-
Amadey, לגניבת ארנקי מטבעות קריפטוגרפיים.
לפוגען יכולות מגוונות כגון הקלטת הקשות מקלדת, ביצוע צילומי מסך, העלאת קבצים לשרת
C2, והורדת קבצים והרצתם על עמדת המשתמש.
כדי ליצור את הרושם, שמדובר ביישומים תמימים, התוקפים יצרו אתרי
Web ליישומים, קידמו אותם בפורומים ייעודיים כגון
bitcointalk ו-
SteemCoinPan, ואף פתחו חשבונות בטוויטר ובטלגרם כדי לפרסמם, כולל תשלום לגורם משפיע (
Influencer) בעל 25 אלף עוקבים כדי לקדמם.
דרכי התמודדות:
אם התקנתם את אחד היישומים המוזכר בהתרעה, מומלץ להסירו מיד.
מומלץ לוודא, שהעמדה נקיה באמצעות כלי אבטחת מידע שברשותכם (
AV, EDR וכד').
מומלץ להעביר את כל המטבעות הקריפטוגרפיים שברשותכם לארנקים חדשים ולהחליף סיסמאות גישה.
הערה: היום הגיע הביטקוין לרף 35,000 הדולרים (אתר Bitstamp) לאחר שירד מרף 41,000 דולרים שהיה בסוף השבוע, ואתמול היה על פחות מ-31,000 דולרים: