小心！恶意软件 ElectroRAT 正在攻击加密钱包！

从 2020 年至今，ElectroRAT 运行已有一年。这款恶意软件依然在对加密钱包展开攻击。

网络安全公司 Intezer 的一名研究员已经了解 ElectroRAT 的内部运作原理，并将其撰写成了报告。一直以来，ElectroRAT 都在攻击加密钱包，窃取受害者的资金。

据研究员阿维盖尔·梅奇廷格（Avigayil Mechtinger）所言，该恶意软件使用多种工具欺骗受害者，包括“营销活动、与加密货币相关的自定义应用和从头开始编写的远程访问工具（RAT）”。

这个恶意软件之所以叫作 ElectroRAT，是因为这个远程访问工具是嵌入构建在 Electron 平台上的应用中的。

加密货币托管创业公司 Casa 的首席技术官詹姆森·洛普（Jameson Lopp）表示：“出现新的恶意软件并不奇怪，尤其是在牛市期间。由于加密货币价格暴涨，攻击变得更加有利可图。”

过去几个月来，比特币和其它加密货币已经进入牛市，整个加密货币行业的价格都在暴涨。

什么是 ElectroRAT？

ElectroRat 恶意软件是用开源编程语言 Golang 编写的。该语言支持跨平台功能，而且针对多种操作系统，包括 macOS、Linux 和 Windows。

根据该报告，攻击者不仅注册了域，还创建了网站、木马应用和虚假的社交媒体账户。

梅奇廷格在报告中指出，虽然攻击者通常会试图收集用来访问用户钱包的私钥，但是很少会见到像 ElectroRAT 这样的工具和从头开始编写且针对多种操作系统的应用。

图 | ElectroRAT 的可视化介绍（来源：Intezer）

梅奇廷格在报告中写道：“通过从头开始编写恶意软件，攻击者躲过了所有杀毒软件检测，悄无声息地运行了将近一年。”

洛普对此表示赞同，并指出最有趣的一点是，这个杀毒软件是针对三个主要的操作系统进行编译的。

洛普说：“由于安装基础广泛且操作系统的安全性较弱，大多数恶意软件往往只针对 Windows。就比特币而言，恶意软件的编写者可能会推断大多数早期采用者都是运行 Linux 的技术人员。”

ElectroRat 的运作原理

为了吸引受害者，ElectroRat 攻击者创建了三个不同的域以及在多个操作系统上运行的应用程序。

这些应用的下载页面是专门为吸引受害者而创建的，看起来就像是合法实体。

这些应用专门吸引并攻击加密货币用户，例如，交易管理应用“Jamm”和“eTrade”，以及使用加密货币的扑克应用“DaoPoker”。

为了推广这些应用，攻击者使用虚假的社交媒体账号和用户资料，找了社交媒体红人做广告，还在 bitcointalk 和 SteemCoinPan 等加密货币和区块链论坛上进行定向推广。攻击者通过发布帖子鼓励读者进入看似专业的网站下载应用，同时也会将恶意软件下载下来。

图 | eTrade 应用的前端（来源：Intezer）

例如，DaoPoker 的推特账号有 417 位关注者，推广 eTrade 的社交媒体广告商在推特上拥有 2.5 万关注者。撰写本文时，DaoPoker 的推特账号仍处于活跃状态。

虽然这些应用的前端乍看之下是合法的，但是它们的后台活动是非法的，以用户的加密货币钱包为目标。这些应用也依然活跃。

梅奇廷格表示：“黑客想要窃取用户的加密货币，而且他们愿意为此付出很多——花费数月时间建立虚假公司，打造虚假声誉，并创建看似合法实则暗藏恶意软件的应用。”

ElectroRAT 的功能

梅奇廷格在电子邮件中表示：“ElectroRAT 具备多种功能。它可以获取屏幕截图和重要日志，并通过受害者的设备上传文件夹/文件等等。一旦执行，ElectroRAT 就会通过其命令和控制服务器创建命令并等待命令。”

根据报告，该恶意软件专门针对加密货币用户以攻击他们的加密钱包，而且有受害者曾在以太坊钱包应用 Metamask 的推文下发表评论。基于研究员对恶意软件行为的观察，可能有超过 6500 人受到了威胁。

如何避免攻击

首先，最好的措施就是不要下载这类应用。

洛普的建议是，用户在调查这类新应用时，避免进入可疑的网站和论坛，只安装经过审计的知名软件，以及知名度高且安装人数多的应用。

洛普表示：“不要使用会在手提电脑/台式电脑上存储私钥的钱包。私钥应存储在专用硬件设备上。”

由此可见，将加密货币存储在冷硬件钱包中并将助记词记在纸上而非存储在电脑内有多重要。采用这种方法才能有效防止恶意软件访问你的加密货币。

图 | 一名 ElectroRAT 应用受害者的评论（来源：Intezer）

如果你认为自己的电脑可能已经遭到入侵，就可以采用其它措施。

梅奇廷格称：“为了确保你的设备没有遭到入侵，我们建议你采取积极行动，扫描设备查看是否存在恶意活动。”

在报告中，梅奇廷格给用户建议是，一旦发觉自己成了该骗局的受害者，就要终止正在运行的进程，并删除与恶意软件相关的所有文件。另外，用户还需要确保自己的设备是干净的，并且在非恶意代码上运行。Intezer 已经创建了适用于 Windows 环境的终端扫描程序，以及面向 Linux 用户的免费社区工具 Intezer Protect。欲知更多详细内容，可查看原始报告。

当然了，你应该将自己资金转移到新的加密钱包中，并更改所有密码。

比特币价格上涨会吸引更多恶意软件

随着比特币价格持续上涨，梅奇廷格认为恶意软件攻击并不会减少。事实上，它们还有可能增多。

梅奇廷格表示：“如此巨额的资金对于黑客来说是极大的诱惑。”

洛普称，攻击者将投入越来越多的资源来想设法窃取用户的私钥。

洛普称：“虽然这种新型攻击需要花费更多精力来开发，但是有可能带来很高的回报，因为用户对这类攻击的认知还不足，更容易中招。也就是说，人们很有可能在不知不觉中遭到攻击。”