Все публикации

Новое вредоносное ПО использует Tor и Bittorrent для кражи биткойнов и эфира

Новое вредоносное ПО Krypto Cibule. Обзор миксера биткоинов mixers.money

  1. Новый троян Krypto Cibule
  2. Как это работает
  3. Почему такое возможно?

Новый троян Krypto Cibule

Новое вредоносное ПО под названием Krypto Cibule использует мощность зараженных компьютеров для добычи криптовалюты, кражи файлов криптокошелька и перенаправления входящих цифровых активов на адрес хакера. Согласно обширному отчету компании ESET, занимающейся кибербезопасностью, вредоносная программа использует сеть Tor и протокол Bittorrent для выполнения атак.

Биткоин миксер mixers.money о новом трояне Krypto Cibule

«Krypto Cibule распространяется через вредоносные торренты для ZIP-файлов, содержимое которых маскируется под установщики взломанного или пиратского программного обеспечения и игр», — подробно рассказали исследователи Матье Фау и Александр Кот Сир в своем отчете, опубликованном 2 сентября.

Вредоносная программа в основном активна в Чехии и Словакии, где на нее были совершены сотни атак. Большинство жертв загрузили вредоносное ПО из файлов, размещенных на популярном в двух странах торрент-сайте uloz.to.

Как это работает

Операции, заложенные в вирусе, который исследователи ESET отслеживают с 2018 года, записываются в XMRig, программу с открытым исходным кодом, которая добывает Monero с помощью ЦП, и kawpowminer, другую программу с открытым исходным кодом, которая добывает Ethereum ( ETH ) с помощью графического процессора. Обе программы настроены для подключения к серверу майнинга, контролируемому хакерами, через прокси-сервер Tor.

Исследователи объясняют то небольшое внимание, которое ранее уделялось трояну и его действиям. Чтобы владелец компьютера ничего не подозревал, вредоносная программа отзывает GPU-майнер, когда заряд батареи ниже 30%, и полностью прекращает работу, когда батарея разряжается ниже 10%.

Обзор биткоин миксер mixers.money: новое вредоносное ПО Krypto Cibule

Операция по захвату буфера обмена маскируется под SystemArchitectureTranslation.exe. Он отслеживает изменения в буфере обмена, чтобы заменить адреса кошельков адресами, контролируемыми оператором вредоносного ПО, с целью неправильного использования средств. На сегодняшний день кошельки, используемые компонентом захвата буфера обмена, получили чуть более 1800 долларов в биткойнах (BTC) и эфириуме.

Exfiltration работает путем обхода файловой системы каждого доступного диска в поисках имен файлов, содержащих определенные термины. Исследователи ESET связали троян с терминами, в основном относящимися к криптовалютам, кошелькам или майнерам, а также с более общими терминами, такими как криптовалюта, сид и пароль. Файлы, которые могут предоставлять данные, такие как закрытые ключи, также являются целью.

Почему такое возможно?

По мнению исследовательской группы, использование легитимных инструментов с открытым исходным кодом, а также широкого спектра методов защиты от обнаружения, вероятно, держало новое вредоносное ПО в тени до сих пор. Krypto Cibule все еще активно развивается, и за его двухлетнюю жизнь были добавлены новые функции.