警告：针对加密货币用户的跨平台ElectroRAT恶意软件

网络安全研究人员今天揭露了一个针对加密货币用户的广泛骗局，该骗局早在去年1月就开始分发特洛伊木马应用程序，以便在目标系统上安装一个以前未被发现的远程访问工具。

打电话电鼠Intezer在Golang从头开始编写RAT，其设计目标是Windows、Linux和macOS等多种操作系统。

这些应用程序是使用开源的Electron跨平台桌面应用程序框架开发的。

研究人员说：“ElectroRAT是攻击者利用Golang开发多平台恶意软件并逃避大多数杀毒引擎的最新例子”。

“常见的情况是，各种信息窃取者试图收集私钥以访问受害者的钱包。然而，很少有工具是从零开始编写的，并以多个操作系统为目标。”

该活动于12月首次被发现，据信，根据用于定位指挥与控制（C2）服务器的Pastebin页面的独特访客数量，已造成6500多名受害者死亡。

“电鼠行动”涉及攻击者创建三个不同的受污染应用程序—；每个都有Windows、Linux和Mac版本—；其中两款以“Jamm”和“eTrade”的名义冒充加密货币交易管理应用程序，而第三款名为“DaoPoker”的应用程序冒充加密货币扑克平台。

这些恶意应用不仅存在于专门为此次活动构建的网站上，而且还在Twitter、Telegram、合法加密货币和区块链相关论坛（如“bitcointalk”和“SteemCoinPan”）上发布广告，试图吸引毫无戒心的用户下载受污染的应用。

安装后，该应用程序会打开一个看起来无害的用户界面，而实际上，ElectroRAT以“mdworker”的身份隐藏在后台运行，具有入侵功能，可以捕捉击键、截图、从磁盘上传文件、下载任意文件，并执行从受害者机器上的C2服务器接收到的恶意命令。

有趣的是，对Pastebin页面的分析—；早在2020年1月8日—年，一个名为“Execmac”的用户就发布了这本书；该用户在活动之前发布的信息发现，C2服务器与Amadey和KPOT等Windows恶意软件一起使用，这表明攻击者已从使用知名特洛伊木马转向一种能够针对多个操作系统的新RAT。

研究人员说：“另一个激励因素是，这是一个未知的Golang恶意软件，它通过避开所有防病毒检测，使这场运动在一年的时间里处于雷达之下”。

已成为该活动受害者的用户被敦促停止该过程，删除所有与恶意软件相关的文件，将资金转移到新钱包，并更改密码。