Na Slovákov a Čechov útočí nový trojan KryptoCibule

Doteraz nepreskúmaný typ malvéru na svoje obete vyčkáva v torrentoch.
Na Slovákov a Čechov útočí nový trojan KryptoCibule

Výskumníkom z firmy ESET sa podarilo odhaliť typ trójskeho koňa, ktorého obeťami sú predovšetkým internetoví užívatelia z Česka a Slovenska. Nová rodina malvéru dostala pomenovanie KryptoCibule.

Prevádzkovatelia KryptoCibule sa pomocou svojho výtvoru snažia predovšetkým o finančné obohatenie a preto sa zameriavajú na majiteľov kryptomien.

Nielenže zneužívajú počítač obete za účelom dolovania kryptomien, pokúšajú sa taktiež presmerovať transakcie pozmenením adresy peňaženky v schránke. Okrem toho škodlivý softvér dokáže z napadnutého zariadenia exfiltrovať citlivé súbory súvisiace s kryptomenami.

Experti identifikovali niekoľko verzií KryptoCibule, pričom najstaršia pochádza z decembra 2018. Odvtedy sa malvér neustále vyvíjal a zdokonaľoval.

(Zdroj: ESET)

KryptoCibule paralelne implementuje viacero techník, ktoré zabraňujú odhaliť jej aktivitu. Vo svojej  komunikačnej infraštruktúre s C&C serverami využíva sieť Tor a protokol BigTorrent.

„Malvér, napísaný v C#, využíva legitímny softvér. Niektoré, napríklad Tor a torrentový klient Transmission, sú dodávané s inštalátorom; ďalšie sa sťahujú za behu, vrátane Apache httpd a servera Buru SFTP,“ podotkol vo svojom blogu Matthieu Faou, výskumník ESETu, ktorý malvérovú rodinu odhalil.

(Zdroj: ESET)

Väčšina z infikovaných torrentov sa objavila na platforme na zdieľanie súborov ulož.to. Tá je široko využívaná najmä v Českej republike a na Slovensku, preto väčšina z niekoľkých stoviek obetí pochádza práve z týchto krajín.

Autori KryptoCibule túto geolokáciu podľa všetkého plánovali – modul kontroly prítomnosti antivírusového programu v počítači obete je nastavený na identifikáciu ESETu, Avastu alebo AVG. Všetky z menovaných spoločností pochádzajú práve z menovaných krajín.


Kristína Urbanová