ElectroRAT: Malware stiehlt Kryptowährungs-Wallets inkl. Passwörtern

Vermutlich seit ziemlich genau einem Jahr haben die Betreiber einer Malware-Kampagne tausende Nutzer von Kryptowährungen bestohlen. Sie tarnten ihren Schadcode dabei in verschiedenen nützlich wirkenden Anwendungen. Laut einem Bericht des Security-Unternehmens Intezer Labs, die im Dezember auf das Problem aufmerksam wurden und es analysierten, geht es hier um drei Applikationen: Jamm, eTrade/Kintum und DaoPoker. Bei den ersten beiden handelt es sich um scheinbar einfache Zugänge zu Trading-Plattformen für Kryptowährungen, während man in der dritten App Poker mit Kryptowährungen spielen kann.

Die Anwendungen stehen jeweils für Windows, MacOS und Linux zur Verfügung. In ihrem Inneren schlummert dabei eine Malware, die von den Sicherheitsforschern als ElectroRAT bezeichnet wird. Diese arbeitet als Keylogger, fertigt Screenshots an, lädt Dateien ins Netz hoch und kann über eine Kontroll-Infrastruktur auch mit weitergehenden Modulen versehen werden. All dies dient dem Zweck, an Krypto-Wallets und die zugehörigen Passwörter zu gelangen.

Geschrieben in Go

Anhand der Kommunikation zwischen installierten Malware-Instanzen und dem Kontroll-Server gehen die Sicherheitsforscher davon aus, dass um die 6500 Nutzer konkret vom Informations-Diebstahl betroffen sind und wahrscheinlich Werte in Form von Kryptowährungs-Einheiten verloren haben. Über die mögliche Höhe des Schadens gibt es aber keinerlei Informationen.

ElectroRAT hatte darüber hinaus noch eine bemerkenswerte Eigenschaft: Die Malware wurde in der Programmiersprache Go geschrieben. Diese erfreut sich in der Szene aktuell einiger Beliebtheit. Denn die Detektierung von Go-Malware ist aufgrund eines wesentlich geringeren Erfahrungsschatzes schwieriger, als es bei den Standard-Sprachen C oder C++ der Fall ist. Darüber hinaus können aus dem Code recht problemlos Binaries für verschiedene Plattformen kompiliert werden.

Siehe auch: