Le pot aux roses a été découvert par des chercheurs en cybersécurité de chez Intezer, qui détaillent cette cyberattaque.

Elle a notamment utilisé des noms de domaines et sites dédiés, des applications vérolées, de faux comptes sur les réseaux sociaux et un nouveau RAT (Remote Administration Tool) baptisé ElectroRAT. Ce dernier, écrit en Golang, cible les trois principaux systèmes d’exploitation : Linux, macOS et Windows.

Cette cyberattaque aurait débuté en janvier 2020, mais n’a été découverte qu’en décembre. « Nous estimons que cette campagne a déjà infecté des milliers de victimes, en se basant sur le nombre de visiteurs uniques des pages pastebin utilisées pour localiser les serveurs de commande et contrôle », explique Intezer.

Trois applications autour des cryptomonnaies ont été spécialement développées : Jamm, eTrade et DaoPoker (un jeu de poker). Les comptes sur les réseaux sociaux ont servi de caisse de résonance, avec en prime des publications sur des forums spécialisés pour inciter les utilisateurs à sauter le pas.

Si vous avez téléchargé l’une d’entre elles, il faut le plus rapidement possible tuer les processus et les supprimer de votre ordinateur. Pensez également à transférer vos fonds sur un autre portefeuille et à changer vos mots de passe.

Intezer propose sur GitHub des « YARA rules » pour aider à la détection des trois applications malveillantes.