Výskumníkom z firmy ESET sa podarilo odhaliť typ trójskeho koňa, ktorého obeťami sú predovšetkým internetoví užívatelia z Česka a Slovenska. Nová rodina malvéru dostala pomenovanie KryptoCibule.
Prevádzkovatelia KryptoCibule sa pomocou svojho výtvoru snažia predovšetkým o finančné obohatenie a preto sa zameriavajú na majiteľov kryptomien.
Nielenže zneužívajú počítač obete za účelom dolovania kryptomien, pokúšajú sa taktiež presmerovať transakcie pozmenením adresy peňaženky v schránke. Okrem toho škodlivý softvér dokáže z napadnutého zariadenia exfiltrovať citlivé súbory súvisiace s kryptomenami.
Experti identifikovali niekoľko verzií KryptoCibule, pričom najstaršia pochádza z decembra 2018. Odvtedy sa malvér neustále vyvíjal a zdokonaľoval.
(Zdroj: ESET)
KryptoCibule paralelne implementuje viacero techník, ktoré zabraňujú odhaliť jej aktivitu. Vo svojej komunikačnej infraštruktúre s C&C serverami využíva sieť Tor a protokol BigTorrent.
„Malvér, napísaný v C#, využíva legitímny softvér. Niektoré, napríklad Tor a torrentový klient Transmission, sú dodávané s inštalátorom; ďalšie sa sťahujú za behu, vrátane Apache httpd a servera Buru SFTP,“ podotkol vo svojom blogu Matthieu Faou, výskumník ESETu, ktorý malvérovú rodinu odhalil.
(Zdroj: ESET)
Väčšina z infikovaných torrentov sa objavila na platforme na zdieľanie súborov ulož.to. Tá je široko využívaná najmä v Českej republike a na Slovensku, preto väčšina z niekoľkých stoviek obetí pochádza práve z týchto krajín.
Autori KryptoCibule túto geolokáciu podľa všetkého plánovali – modul kontroly prítomnosti antivírusového programu v počítači obete je nastavený na identifikáciu ESETu, Avastu alebo AVG. Všetky z menovaných spoločností pochádzajú práve z menovaných krajín.
Kristína Urbanová