Słowacka firma zajmująca się cyberbezpieczeństwem ESET odkryła nową rodzinę złośliwego oprogramowania, które może wydobywać i kraść Bitcoin, Ethereum i Monero, a także eksfiltrować pliki związane z kryptowalutami.
Dochodzenie przeprowadzone przez firmę ESET ujawniło nową rodzinę złośliwego oprogramowania, znaną jako KryptoCibule, który potrafi ukraść Bitcoina (BTC), wydobywaj kryptowaluty takie jak Ethereum (ETH) y Monero (XMR) i eksfiltruj pliki powiązane z tymi kryptowalutami. Według raportu, ze względu na sposób działania tego szkodliwego oprogramowania, KryptoCibule stanowi potrójne zagrożenie dla bezpieczeństwa użytkowników i zasobów cyfrowych.
W szczegółach KryptoCibule wykorzystuje zasoby obliczeniowe ofiary do wydobywania kryptowalut, jednocześnie może przejąć kontrolę nad transakcjami dokonywanymi z zainfekowanego urządzenia, zmieniając adresy kryptograficzne w celu skierowania środków na nieznany adres kontrolowany przez atakującego. Podobnie KryptoCibule może eksfiltrować lub wyodrębniać pliki zawierające poufne dane i informacje z urządzeń, a wszystko to przy jednoczesnym zaciemnianiu swoich operacji za pomocą sieci. Tor i protokół BitTorrent.
El informe Firma ESET ujawnia również, że ta rodzina złośliwego oprogramowania jest napisana w języku C# i korzysta z innego oprogramowania i serwerów z legalnymi licencjami, takimi jak BitTorrent i Tor, jednocześnie pobierając w tle inne serwery, takie jak Apache httpd y Buru SFTP. Podobnie ESET ujawnia, że chociaż jest to rodzina nieudokumentowanego złośliwego oprogramowania, badania wskazują, że jest ono aktywne od 2018 r. i że kilka wchodzących w jego skład szkodliwych programów ewoluowało poprzez dodanie nowych i potężnych funkcjonalności.
Może Cię zainteresować: Anubis, nowe złośliwe oprogramowanie zdolne do kradzieży danych uwierzytelniających portfela kryptowalut
Jak działa KryptoCibule?
„KryptoCibule składa się z trzech komponentów, które wykorzystują zainfekowane hosty w celu uzyskania kryptowaluty: wydobywanie kryptowalut, przejmowanie schowka i eksfiltracja plików”.
Aby infekować urządzenia, KryptoCibule rozprzestrzenia się za pośrednictwem złośliwych torrentów zawierających pliki ZIP, które wydają się być pirackimi instalatorami oprogramowania i gier, ale po uruchomieniu dekodują oczekiwane pliki instalacyjne wraz ze złośliwym oprogramowaniem. Po zainstalowaniu KryptoCibule zaczyna działać na zainfekowanym urządzeniu, nie ostrzegając ofiary, że coś jest nie tak.
Po pierwsze, KryptoCibule porywa aplikacje portfeli kryptowalut w celu wymiany adresów i przekierowywania środków do portfela kontrolowanego przez hakera za pośrednictwem DodajClipboardFormatListener. Badacze zwracają uwagę, że ta metoda lub element jest najczęściej wykorzystywana w celu wyciągnięcia od ofiar jak największej kwoty pieniędzy. Po drugie, KryptoCibule porywa i wykorzystuje moc obliczeniową zainfekowanego procesora lub karty graficznej do wydobywania kryptowaluty takie jak odpowiednio Monero (XMR) i Ethereum (ETH). Działalność ta, tzw cryptojacking, pozwala hakerom połączyć się z kontrolowanym przez nich serwerem wydobywczym z zainfekowanego urządzenia, aby skorzystać ze środków i nagród uzyskanych w wyniku wydobycia.
Wreszcie złośliwe oprogramowanie może przeszukiwać wszystkie dane i pliki w celu identyfikowania i wydobywania wszelkich interesujących informacji związanych z kryptowalutami, takich jak między innymi hasła. Podobnie, zdaniem badaczy, przy pierwszym uruchomieniu KryptoCibule hostowi przypisywany jest unikalny identyfikator, który umożliwia rozpoznanie hosta w komunikacji z serwerami dowodzenia i kontroli. Format tego identyfikatora pozwala na pobranie losowych słów, które zapewniają ponad 10 milionów kombinacji, co znacznie utrudnia określenie, skąd wydawane są rozkazy komputerom zainfekowanym złośliwym oprogramowaniem.
Według raportu większość ofiar, czyli około 85% wszystkich ataków, ma miejsce na Słowacji i w Czechach. A to, że te kraje są celem hakerów uruchamiających to złośliwe oprogramowanie, wynika z faktu, że większość złośliwych torrentów była hostowana na portalu cyfrowym Zapisz to, jedna z najpopularniejszych witryn do udostępniania plików w tych krajach europejskich.
O ESET-ie
ESET to firma z dużym doświadczeniem i doświadczeniem, która dostarcza rozwiązania w zakresie bezpieczeństwa komputerowego w ponad 200 krajach na całym świecie. Firma jest twórcą renomowanego oprogramowania antywirusowego ESET NOD32, jeden z jej najbardziej znanych i cenionych produktów.
Rozwiązania zabezpieczające ESET skierowane są zarówno do firm i korporacji, jak i zwykłych użytkowników. ESET oferuje innowacyjne, wydajne i łatwe w użyciu produkty gwarantujące ochronę i bezpieczeństwo informacji, zarówno na urządzeniach mobilnych, jak i na komputerach, terminalach i wielu innych. Produkty zabezpieczające ESET stale się rozwijają, aby zapewnić skuteczne rozwiązania zabezpieczające działające w czasie rzeczywistym dla wszystkich klientów i użytkowników.
Kontynuuj czytanie: Grupa Lazarus atakuje kradzież kryptowalut za pomocą ataków phishingowych
