كشف باحثون في مجال الأمن السيبراني عن عملية احتيال واسعة النطاق تستهدف مستخدمي العملات المشفرة، بدأت مطلع يناير من العام الماضي، عبر توزيع تطبيقات خبيثة تحتوي على برمجية Trojan لتثبيت أداة وصول عن بُعد (RAT) غير مكتشفة سابقًا على الأجهزة المستهدفة.
وأطلق على البرمجية اسم Electorat من قبل شركة Intezer، وهي مكتوبة بلغة Golang، ومصممة لاستهداف أنظمة تشغيل متعددة تشمل Windows وLinux وmacOS. وقد تم تطوير هذه التطبيقات باستخدام إطار مفتوح المصدر لتطبيقات سطح المكتب متعددة المنصات.
وقال الباحثون إن “Electorat يمثل أحدث مثال على استغلال المهاجمين للغة Golang في تطوير برمجيات خبيثة متعددة المنصات، مع القدرة على التهرب من رصد غالبية محركات مكافحة الفيروسات”.
أوضح الباحثون أن من الشائع رصد برمجيات لسرقة المعلومات تسعى للحصول على المفاتيح الخاصة للوصول إلى محافظ العملات الرقمية الخاصة بالضحايا، إلا أن من النادر تطوير أدوات مكتوبة من الصفر تستهدف أنظمة تشغيل متعددة لهذا الغرض.
ويُعتقد أن الحملة، التي اكتُشفت لأول مرة في ديسمبر، قد أوقعت أكثر من 6,500 ضحية، وذلك استنادًا إلى عدد الزوار الفريدين لصفحات Pastebin التي استُخدمت لتحديد مواقع خوادم القيادة والتحكم (C2).
تضمنت “تشغيل electorat” المهاجمين الذين يقومون بإنشاء ثلاثة تطبيقات مختلفة – لكل منها مع Windows ، Linux ، إصدار MAC – اثنان منهم يطرحان كطبقات إدارة التجارة المشفرة باسم “Jamm” و “Etrade” ، في حين أن تطبيقًا ثالثًا يسمى “Daopoker” Masquerades كمنصة بوكر للعملة المشفرة.
لا يتم فقط التطبيقات الضارة التي تم استضافتها على مواقع الويب التي تم إنشاؤها خصيصًا لهذه الحملة ، ولكن يتم الإعلان عن الخدمات أيضًا على Twitter و Telegram و Cryptocurrency Legitive Cryptocurrency و blockchain مثل “BitcoIntalk” و “Steemcoinpan” في محاولة لجذب المستخدمين غير المشكوكين في تنزيل التطبيقات.
بمجرد التثبيت ، يفتح التطبيق واجهة مستخدم غير مؤذية في الوقت الذي يتم فيه في الواقع ، يتم تشغيل Electorat في الخلفية على أنه “MDWorker” ، والذي يأتي مع إمكانات متطفلة لالتقاط مفاتيح مفاتيح ، أخذ لقطات الشاشة ، وتحميل ملفات من القرص ، وتنزيل ملفات التعسفية ، وتنفيذ الأوامر الخبيثة التي تم تلقيها من خادم C2 على آلة الضحية.
ومن المثير للاهتمام ، تحليل صفحات Pastebin – التي نشرها مستخدم يدعى “Execmac” في وقت مبكر من 8 يناير 2020 – وتلك التي نشرها نفس المستخدم قبل الحملة التي عثرت على خوادم C2 المستخدمة بالاقتران مع Windows Merware Like أميدي و KPOT، مما يشير إلى أن المهاجمين قد تم تحديدهم من استخدام أحصنة طروادة معروفة إلى فأر جديد قادر على استهداف أنظمة تشغيل متعددة.
وقال الباحثون: “هناك عامل تحفيز آخر هو أن هذه البرامج الضارة غير معروفة من جولانج ، والتي سمحت للحملة بالطيران تحت الرادار لمدة عام من خلال التهرب من جميع اكتشافات مكافحة الفيروسات”.
يتم حث المستخدمين الذين وقعوا ضحية لهذه الحملة على قتل العملية ، وحذف جميع الملفات المتعلقة بالبرامج الضارة ، ونقل الأموال إلى محفظة جديدة ، وتغيير كلمات المرور الخاصة بهم.
