Windows10の暗号通貨ウォレットを標的とするElectroRATマルウェア

新たに発見されたマルウェアの種類は、Windowsシステムの暗号通貨ウォレットを標的としています。研究者によってElectroRATと呼ばれるこのマルウェアは、これまでに数千人の犠牲者を出し、さらに多くの犠牲者が出てくるようになっています。

ElectroRATはWindows10ユーザーから暗号を盗みます

ビットコインの価格がかつてないほど高くなっているため、マルウェアの亜種を盗む暗号通貨の新しい相次ぐことがニュースになっているのは当然のことです。

Intezerの研究者は、現在Windows 10ユーザーを対象としているこれまで知られていなかったリモートアクセスツール（RAT）を発見しました。このマルウェアは、macOSおよびLinuxユーザーも標的にしています。 Intezerチームは、暗号を盗むマルウェアをElectroRATと名付け、少なくとも6,500人の犠牲者がいると考えています。

ElectroRATは非常に煩わしいです。キーロガー、スクリーンショットの撮影、ディスクからのファイルのアップロード、ファイルのダウンロード、被害者のコンソールでのコマンドの実行など、さまざまな機能があります。このマルウェアは、Windows、Linux、MacOSの亜種に対して同様の機能を備えています。

調査チームは、キャンペーンが2020年1月からアクティブになっていると考えています。つまり、キャンペーンは検出されずに約12か月間実行されています。

ElectroRATは、暗号通貨ユーザーを誘惑して、ソーシャルメディアネットワークや暗号通貨フォーラムに投稿されたトロイの木馬化されたアプリケーションをダウンロードします。トロイの木馬化されたアプリは、人気のある暗号通貨取引アプリJammやeTradeのように見えて機能します。暗号通貨ポーカーアプリDaoPokerのトロイの木馬バージョンもあります。

インストールされると、ElectroRATは被害者のシステムで見つかった暗号通貨ウォレットの秘密鍵を見つけようとします。暗号通貨ウォレットの秘密鍵が盗まれると、攻撃者は被害者のウォレットに自分のものであるかのようにアクセスできます。

Intezerのブログと分析では、特定の目的を念頭に置いてゼロから構築されたリモートアクセスツールの希少性についてもコメントしています。 ElectroRATは、ますます多くのマルウェア攻撃に登場するプログラミング言語Golangを使用して構築されました。

RATが最初から作成され、暗号通貨ユーザーから個人情報を盗むために使用されるのを見るのは非常にまれです。偽のアプリ/ウェブサイトや、関連するフォーラムやソーシャルメディアを介したマーケティング/プロモーション活動など、さまざまなコンポーネントを含む、このように広範囲でターゲットを絞ったキャンペーンを目にすることはさらにまれです。