La compañía de ciberseguridad eslovaca, ESET, descubrió una nueva familia de malware que tiene el potencial de minar y robar Bitcoin, Ethereum y Monero, además de exfiltrar archivos relacionados con criptomonedas. 

Una investigación realizada por ESET revela una nueva familia de malware, conocida como KryptoCibule, que es capaz de robar Bitcoin (BTC), minar criptomonedas como Ethereum (ETH) y Monero (XMR) y exfiltrar archivos relacionados con estas criptomonedas. Según el informe, por la manera de operar de estos malware, KryptoCibule representa una triple amenaza para la seguridad de los usuarios y de estos activos digitales. 

En detalle, KryptoCibule utiliza los recursos computacionales de la víctima para la minería de criptomonedas, al mismo tiempo que puede tomar el control sobre las transacciones que se realicen desde un dispositivo infectado, cambiando las direcciones criptográficas para dirigir los fondos hacia una dirección desconocida controlada por el atacante. Así mismo, KryptoCibule puede exfiltrar o extraer archivos con datos e información confidencial de los dispositivos, todo al tiempo que ofusca sus operaciones empleando la red Tor y el protocolo BitTorrent

El informe de ESET también revela que esta familia de malware está escrita en lenguaje C# y utiliza otros softwares y servidores con licencias legítimas, como BitTorrent y Tor, al tiempo que descargan otros servidores en segundo plano, como Apache httpd y SFTP Buru. Así mismo, ESET revela que, a pesar de que se trata de una familia de malware no documentada, las investigaciones señalan que está activa desde 2018 y que varios de los malware que la componen han evolucionado agregando nuevas y poderosas funcionalidades. 

Te puede interesar: Anubis, el nuevo malware capaz de robar las credenciales de un monedero de criptomonedas

¿Cómo funciona KryptoCibule?

«KryptoCibule tiene tres componentes que aprovechan los hosts infectados para obtener criptomonedas: criptominería, secuestro del portapapeles y exfiltración de archivos».

Para infectar los dispositivos, KryptoCibule se propaga a través de torrents maliciosos para archivos ZIP, que aparentan ser instaladores de software y juegos pirateados, pero cuando se ejecutan, decodifican los archivos de instalación esperados junto al malware. Una vez instalado, KryptoCibule comienza a operar en el dispositivo infectado sin advertir a la víctima de que algo no anda bien.

En primer lugar, KryptoCibule secuestra las aplicaciones de monederos de criptomonedas para intercambiar direcciones y redirigir los fondos hacia una wallet controlada por el hacker a través de la función AddClipboardFormatListener. Los investigadores señalan que este método o componente es el más explotado para lograr conseguir la mayor cantidad de dinero que se pueda de las víctimas. En segundo lugar, KryptoCibule secuestra y emplea el poder computacional de la CPU infectada o la GPU para minar criptomonedas como Monero (XMR) y Ethereum (ETH), respectivamente. Esta actividad, conocida como cryptojacking, le permite a los hackers conectarse a un servidor de minería controlado por ellos desde el dispositivo infectado, para beneficiarse de los fondos y recompensas obtenidas por la minería. 

Por último, el malware tiene el potencial de rastrear todos los datos y archivos para identificar y extraer cualquier información de interés relacionada con criptomonedas, como contraseñas, entre otros. Así mismo, según los investigadores, cuando KryptoCibule se ejecuta por primera vez, se asigna un identificador único al host, que permite reconocer el host dentro de las comunicaciones con servidores de control y comando. El formato de este identificador permite tomar palabras aleatorias que proporcionan más de 10 millones de combinaciones, por lo que es bastante difícil identificar desde donde se dan las órdenes a los equipos infectados con el malware.  

Según el informe, la mayoría de las víctimas, alrededor del 85% de todos los ataques, se encuentran en Eslovaquia y la República Checa. Y que estos países sean el blanco de los hackers que ejecutan este malware, se debe a que la mayoría de los torrents maliciosos estaban alojados en el portal digital uloz.to, uno de los sitios de intercambio de archivos más populares en estos países de Europa. 

Acerca de ESET

ESET es una compañía con una amplia trayectoria y experiencia que brinda soluciones de seguridad informática en más de 200 países alrededor del mundo. La compañía es la creadora del reconocido software antivirus ESET NOD32, uno de sus productos más famosos y aclamados. 

Las soluciones de seguridad de ESET están dirigidas tanto a empresas y corporaciones como a usuarios comunes. ESET ofrece productos innovadores, de alto rendimiento y de fácil manejo para garantizar la protección y seguridad de la información, tanto en dispositivos móviles como en ordenadores, terminales, y muchos otros. Los productos de seguridad de ESET están en constante evolución para brindar soluciones de seguridad efectivas y en tiempo real para todos sus clientes y usuarios. 

Continúa leyendo: Lazarus Group apunta hacia el robo de criptomonedas con ataques phishing