Οι ερευνητές της ESET ανακάλυψαν μια άγνωστη οικογένεια trojan malware που εξαπλώνεται μέσω κακόβουλων torrents και χρησιμοποιεί πολλαπλές μεθόδους για να αποσπάσει από τα θύματά της όσο το δυνατόν περισσότερα κρυπτονομίσματα, ενώ παραμένει απαρατήρητη.
Η ESET ονόμασε την απειλή KryptoCibule και, σύμφωνα με την τηλεμετρία της, το κακόβουλο λογισμικό φαίνεται να στοχεύει κυρίως σε χρήστες στην Τσεχική Δημοκρατία και τη Σλοβακία.
Το συγκεκριμένο κακόβουλο λογισμικό αποτελεί τριπλή απειλή για τα κρυπτονομίσματα. Χρησιμοποιεί τους πόρους του θύματος για να εξορύξει νομίσματα, επιχειρεί να παρεισφρήσει σε συναλλαγές αντικαθιστώντας διευθύνσεις wallet στο clipboard, εξάγει αρχεία που σχετίζονται με κρυπτονομίσματα, ενώ αναπτύσσει πολλαπλές τεχνικές για να παραμείνει απαρατήρητο. Το KryptoCibule κάνει εκτενή χρήση του δικτύου Tor και του πρωτοκόλλου BitTorrent στην υποδομή επικοινωνίας του.
Η ESET έχει εντοπίσει πολλές εκδόσεις του KryptoCibule, επιτρέποντάς μας να μελετήσουμε την εξέλιξή του από το Δεκέμβριο του 2018 έως σήμερα. Το κακόβουλο λογισμικό παραμένει ενεργό, νέες δυνατότητες προστέθηκαν κατά τη διάρκεια της ζωής του και βρίσκεται υπό συνεχή ανάπτυξη.
Τα περισσότερα από τα θύματα εντοπίζονται στην Τσεχική Δημοκρατία και τη Σλοβακία, και αυτό αντικατοπτρίζει τη βάση χρηστών του ιστότοπου στον οποίο βρίσκονται τα μολυσμένα torrents. Σχεδόν όλα τα κακόβουλα torrents ήταν διαθέσιμα στο uloz.to, ένα δημοφιλή ιστότοπο διαμοιρασμού αρχείων στις δύο χώρες. Επιπλέον, το KryptoCibule ελέγχει ειδικά για την παρουσία προϊόντων ασφαλείας ESET, Avast και AVG. Η ESET εδρεύει στη Σλοβακία, ενώ τα υπόλοιπα ανήκουν στην Avast, η οποία εδρεύει στην Τσεχική Δημοκρατία.
Περισσότερες τεχνικές λεπτομέρειες για το KryptoCibule, μπορείτε να διαβάσετε το σχετικό blogpost “KryptoCibule: The multitasking multicurrency cryptostealer” στο WeLiveSecurity.