كشف باحثون في شركة Intezer Labs عن أن البرمجيات الخبيثة التي تم الكشف عنها مؤخرًا و يطلق عليها اسم ElectroRAT ، كانت تسرق العملات المشفرة من المحافظ الرقمية الخاصة بالمستخدمين منذ السنة الماضية و لديها القدرة على استهداف أنظمة تشغيل متعددة ، حيث تم تصميمها لاستهداف أنظمة التشغيل التالية : Windows و Linux و macOS ، و حسب التحقيق يبدو أنه استهدف بالفعل آلاف الضحايا منذ أوائل عام 2020 كما جاء في تقرير Intezer Labs الذي صدر هذا الأسبوع .  

مجرمو الانترنت الذين يقفون وراء هذه العملية يقومون بنشر سلسلة من عمليات تسجيل النطاقات والمواقع الإلكترونية وتطبيقات أحصنة طروادة وحسابات وسائل التواصل الاجتماعي المزيفة لاستهداف الضحايا ومحافظهم الرقمية ، و يقول أفيجيل ميتشتنغر الباحث الأمني ​​في Intezer Labs : " من الشائع أن تجد العديد من سارقو المعلومات يحاولون جمع المفاتيح الخاصة للوصول إلى محافظ الضحايا ، و مع ذلك فإنه من النادر أيضا الكشف عن أدوات مطورة منذ البداية لاستخدامها لاستهداف أنظمة تشغيل متعددة لنفس الغرض "

بداية الحملة :  

في الحملة الاعلانية التي اكتشفها فريق الأمن في شركة Intezer ، بدأ مجرمو الانترنت القيام بالإعلان عن تطبيقات Trojanized الخبيثة على منصات التواصل الاجتماعي تتضمن تصريح الدخول إلى حسابات شبكة Twitter و Telegram الخاصة بهم وهي في الحقيقة مزيفية حيث أنها معدلة وفق تقنية الهندسة الاجتماعية و مكتوبة بلغة برمجة Golang ، فضلاً عن استهذاف المنتديات المخصصة للمناقشات والأخبار حول العملات المشفرة ، و قد تم تصميم التطبيقات الضارة لتبدو وكأنها تطبيقات آمنة للأشخاص الذين يتداولون في شراء و بيع العملات الافتراضية ، و أشار التقرير إلى أن مشغلي هذه الحملة قاموا بإنشاء تطبيقات مزيفة تسمى Jamm و eTrade ، والتي بدت وكأنها تطبيقات شرعية لإدارة تداول العملات المشفرة ، و تطبيق آخر DaoPoker مخصص لألعاب ﺍﻟﺒﻮﻛﺮ و ﻳﺴﺘﺨﺪﻡ ﺍﻟﻌﻤﻼﺕ ﺍﻟﺮﻗﻤﻴﺔ ﺍﻟﻤﺸﻔﺮﺓ ﻓﻲ عمليات ﺍﻟﺪﻓﻊ المتضمنة في اللعبة .

ويشير التقرير إلى أنه بمجرد تشغيل الضحية للتطبيق ، يتم فتح واجهة مستخدم رسومية عادية بينما تعمل البرمجيات الخبيثة ElectroRAT في البدء في التشغيل على الخلفية باسم" mdworker " ، و تم  إصدار ثلاثة نسخ من تطبيقات أحصنة طروادة هذه للتشغيل على أنظمة Windows و Linux و macOS ، و قال كيونغ كيم كبير المديرين الإداريين ورئيس الأمن السيبراني لمنطقة آسيا والمحيط الهادئ في FTI Consulting سابقًا أن العديد من الجهات التي تهوي سرقة بيانات المستخدمين ، تستخدم لغة برمجة Golang لمساعدتهم على إنشاء برامج ضارة يمكنها استهداف أنظمة تشغيل غير الويندوز ، و أضاف : " لغة برمجية Golang مشهورة لدى المتسللين كما أنها متعددة الأنواع ، تسمح بتجميع قاعدة بيانات واحدة على جميع أنظمة التشغيل المستهذفة ، و بدلاً من مهاجمة المستخدمين فقط ، تركز برمجيات Golang جهودها على اختراق خوادم التطبيقات وأطر العمل وتطبيقات الويب الخاصة بالمستخدمين ، وهذا جزئيًا سبب قدرتها على اختراق الأنظمة بسهولة دون أن يتم كشفها ، بالإضافة إلى قدرتها على استيلاء المحافظ الرقمية من العملات المشفرة " ، و يعمل برنامج ElectroRAT الخبيث ك Logger يمكنه من التقاط لقطات شاشة الجهاز وتحميل الملفات من القرص وتنزيلها إلى الجهاز المصاب لتنفيذ الأوامر الخبيثة .  

يشير التقرير إلى أن صفحة Pastebin الشهيرة قد أصابت بهذا الفيروس الإلكتروني ، و قد تجاوز عدد مرات تصفحها  حدود 6500 زيارة ما بين شهر يناير وديسمبر من سنة 2020 ، ما يعني أنه من المحتمل جدا أن يكون هناك آلاف الضحايا الذين قاموا بتنزيل البرنامج الضار ، سبب ذلك كله حسب الفريق الأمني هو التطور الكبير الذي تشهده قيمة العملية الرقمية  " البيتكوين ( BTC ) " ، حيث تظهر عمليات الاحتيال المتعلقة بهذه العملة المشفرة للاستفادة من الموقف .