محققان امنیت سایبری در خصوص وجود 3 برنامه ناشناس سرقت رمزارزها هشدار دادند

محققان امنیت سایبری موفق به شناسایی یک بدافزار 1 ساله شده‌اند. این بدافزار با ایجاد چندین برنامه جعلی کاربران رمزارزها را هدف قرار داده است. شرکت امنیتی Intezer Labs هشدار داد که افزایش روزافزون قیمت رمزارزها موجب تشدید فعالیت هکرها و بازیگران طمع‌کاری می‌شود که به‌دنبال کسب سود مالی هستند. این بدافزار طی سال گذشته منتشر شده است؛ اما محققان در دسامبر سال 2020 موفق به کشف آن شدند.

این گزارش می‌افزاید که تروجان جدید دسترسی از راه دور (RAT) موسوم به ElectroRAT به منظور خالی کردن کیف پول دیجیتالی هزاران نفر از کاربران سیستم‌عامل‌های ویندوز، مک و لینوکس مورد استفاده قرار گرفته است. 3 برنامه مرتبط با رمزارزها شامل Jamm، eTrade/Kintum و DaoPoker برای انجام حملات به‌کار گرفته شده و همگی بر روی وبسایت‌های اختصاصی خود میزبانی می‌شوند. 2 مورد نخست برنامه‌هایی جعلی در زمینه تجارت رمزارزها هستند؛ در حالی‌که مورد سوم مبتنی بر شرط‌بندی طراحی شده است. به گفته محققان بدافزار ElectroRAT پنهان شده داخل این اپلیکیشن‌ها ماهیتی بسیار ناخوانده دارد.

این بدافزار از قابلیت‌های مختلفی نظیر ورود به سیستم‌، تهیه عکس از صفحه‌نمایش، بارگذاری فایل از دیسک، دانلود فایل‌ها و اجرای فرامین روی کنسول قربانی برخوردار است. این برنامه‌ها پس از اجرا شدن روی کامپیوتر قربانی یک رابط کاربری پیش‌زمینه نمایش داده می‌شود. این رابط کاربری با هدف منحرف نمودن توجه کاربر از فرآیندهای مخرب در حال اجرا در پس‌زمینه طراحی شده است. این اپلیکیشن‌ها علاوه بر انجمن‌های مبتنی بر رمزارز نظیر Bitcointalk از پلتفرم‌های رسانه اجتماعی نظیر توئیتر و تلگرام استفاده می‌کنند.

شرکت امنیتی Intezer Labs تخمین زده که این کارزار پیش‌تر هزاران قربانی را آلوده نموده و کیف پول رمزارزهای آن‌ها را خالی کرده است. همچنین بر اساس اعلام گزارش شواهدی وجود دارند که نشان می‌دهند برخی قربانیان آسیب‌دیده توسط این برنامه‌ها از کیف پول‌های دیجیتالی معروفی نظیر MetaMask استفاده می‌کنند.

این بدافزار با استفاده از یک زبان برنامه‌نویسی چند پلتفرمی موسوم به Golang نوشته شده است؛ موضوعی که شناسایی آن‌را دشوارتر خواهد کرد. به گفته شرکت امنیتی مشاهده یک بدافزار RAT طراحی شده برای سرقت اطلاعات شخصی از کاربران رمزارزها (که از ابتدا با این هدف نوشته شده باشد) امری نامتعارف است.

شرکت امنیتی Intezer Labs می‌افزاید:

“مشاهده چنین کمپین گسترده و هدفمندی شامل اجزای مختلفی نظیر برنامه‌ها، وبسایت‌های جعلی و تلاش‌های بازاریابی و تبلیغاتی از طریق انجمن‌های مربوطه و رسانه‌های اجتماعی پدیده‌ای به‌مراتب نادرتر به‌نظر می‌رسد.”

در سال 2020 چندین مورد بدافزار با ایجاد نسخه‌های جعلی از برنامه‌های قانونی و افزونه‌های مرورگر نظیر MetaMask یا Ledger راه نفوذ خود به کامپیوتر قربانیان را باز کرده‌اند. این موضوع احتمالا با سرقت کلان داده‌ها از کیف پول Ledger در اواسط ماه دسامبر مرتبط بوده است. در سپتامبر سال 2020 کاربران کیف پول Coinbase جزو قربانیان بدافزاری جدید در سیستم‌عامل اندروید بودند. این بدافزار از طریق فروشگاه گوگل پلی منتشر شده بود.