Phần mềm độc hại có tên ElectroRAT được viết bằng ngôn ngữ lập trình Golang và được thiết kế để chạy trên nhiều nền tảng hệ điều hành như Windows, Linux và macOS. Nó được phát triển dựa trên nền tảng mã nguồn mở Electron.
Các nhà nghiên cứu cho biết: “ElectroRAT là ví dụ mới nhất về việc những tin tặc sử dụng Golang để phát triển phần mềm độc hại đa nền tảng và tránh bị các phần mềm diệt virus phát hiện.
Thông thường tin tặc sẽ cố gắng thu thập các private key để truy cập vào ví của nạn nhân trên một hệ điều hành cụ thể. Hiếm khi nào lại có các công cụ ngay từ đầu được viết để nhắm vào nhiều hệ điều hành.
Chiến dịch được phát hiện lần đầu tiên vào tháng 12/2020, đã đánh cắp thông tin của hơn 6.500 nạn nhân dựa trên số lượng khách truy cập vào các trang Pastebin dùng để xác định các máy chủ C&C.
Qua đó, tin tặc tạo ra ba ứng dụng giả mạo khác nhau tương ứng với các hệ điều hành Windows, Linux, Mac. Hai ứng dụng "Jamm" và "eTrade" có chức năng quản lý tiền ảo. Ứng dụng còn lại "DaoPoker" giả mạo nền tảng tiền ảo Poker.
Các ứng dụng độc hại không chỉ được lưu trữ trên các trang web được xây dựng đặc biệt cho chiến dịch này, mà còn được quảng cáo trên Twitter, Telegram và các diễn đàn liên quan đến tiền điện tử và blockchain hợp pháp như "bitcointalk", "SteemCoinPan" nhằm thu hút người dùng tải xuống các ứng dụng độc hại.
Sau khi được cài đặt, ứng dụng giả mạo sẽ mở ra một giao diện tưởng như vô hại, nhưng trên thực tế ElectroRAT chạy ngầm dưới dạng "mdworker", cho phép ghi lại các tổ hợp phím, chụp ảnh màn hình, tải lên tệp từ đĩa, tải xuống tệp tùy ý và thực hiện các lệnh độc hại từ máy chủ C&C trên máy của nạn nhân.
Đáng chú ý bài phân tích trên các trang Pastebin được đăng tải bởi người dùng có tên "Execmac" vào ngày 08/01/2020. Tài khoản này đã đăng các thông tin trước chiến dịch nhắm vào máy chủ C&C sử dụng mã độc trên Windows như Amadey và KPOT. Có thể thấy, những kẻ tấn công đã chuyển hướng từ sử dụng các trojan phổ biến sang một phần mềm độc hại đa nền tảng.
Các nhà nghiên cứu khuyến cáo người dùng bị ảnh hưởng bởi chiến dịch này nên loại bỏ các tiến trình độc hại trên máy tính, xóa tất cả các tệp liên quan, chuyển tiền sang ví mới và tiến hành đổi mật khẩu.
M.H
14:12 | 07/05/2016
16:00 | 17/12/2020
16:00 | 08/12/2020
13:00 | 16/12/2020
Một số ứng dụng Android phổ biến đang sử dụng phiên bản thư viện chưa được vá lỗi của Google, điều này dẫn tới khả năng dữ liệu cá nhân của hàng trăm triệu người dùng có nguy cơ bị tấn công.
09:00 | 28/10/2020
Xu hướng phát triển loại hình cho thuê văn phòng của các khách sạn trên thế giới đang kéo theo những nguy cơ tiềm ẩn về mối đe dọa mất an toàn thông tin từ dịch vụ wifi công cộng. Mới đây, FBI đã đưa ra những cảnh báo đến những khách hàng đang sử dụng loại hình dịch vụ này.
16:00 | 18/09/2020
Ngày 15/9/2020, Cục An toàn thông tin (Bộ Thông tin và Truyền thông) đã thông báo về nguy cơ tấn công vào các cơ quan, tổ chức qua lỗ hổng Zerologon (còn gọi là lỗ hổng CVE-2020-1472) trên các máy chủ Domain Controller.
15:00 | 11/09/2020
Giáo dục đã trở thành mục tiêu chính cho các cuộc tấn công từ chối dịch vụ (DDoS) khi ngày càng có nhiều trường học đang thực hiện đào tạo trực tuyến để đảm bảo an toàn cho học sinh trong đại dịch COVID-19. Các nhà nghiên cứu cũng báo cáo về sự gia tăng của các trang web và email lừa đảo, cũng như các mối đe dọa được ngụy trang dưới dạng các ứng dụng và nền tảng học tập trực tuyến.
18:00 | 30/12/2020 | Công nghệ thông tin
10:00 | 28/12/2020 | An toàn thông tin
11:00 | 24/12/2020|An toàn thông tin
16:00 | 17/12/2020|Công nghệ thông tin
16:00 | 17/12/2020|GP ATM
16:00 | 17/12/2020|Hacker / Malware
17:00 | 22/10/2020|Chính trị - Xã hội
08:00 | 22/10/2020|Hacker / Malware
Đầu năm 2021, Zyxel phát hành bản vá giải quyết một lỗ hổng nghiêm trọng trong firmware của hãng liên quan đến một tài khoản bí mật được mã hóa cứng. Lỗ hổng có thể bị kẻ tấn công lợi dụng để đăng nhập với đặc quyền quản trị và xâm phạm các thiết bị mạng của Zyxel.
14:00 | 14/01/2021
