-
KryptoCibule puede exfiltrar archivos relacionados con criptomonedas y robar las carteras.
-
El malware utiliza el protocolo BitTorrent para propagarse.
Los investigadores de la firma de ciberseguridad ESET han descubierto una familia de malware, que hasta ahora no habรญa sido documentada, a la que han denominado KryptoCibule (โcripto cebollaโ en idioma checo). El malware utiliza los recursos de los equipos de las vรญctimas para minar monero (XMR) y ether (ETH).
De acuerdo a la informaciรณn publicada en el blog de ESET este 2 de septiembre, KryptoCibule supone una triple amenaza para los usuarios de criptomonedas, pues ademรกs de ejecutar minerรญa maliciosa (cryptojacking), secuestra transacciones y sustrae archivos relacionados con criptomonedas.
Los hackers en primer lugar toman el control de gran parte de las funciones del equipo infectado. Luego, interceptan las transacciones buscando las contraseรฑas guardadas en el dispositivo y secuestran el portapapeles, para despuรฉs reemplazar las direcciones de las carteras con direcciones de monederos controlados por el operador de malware.
En esencia, el malware lo que hace es redirigir las transacciones realizadas por la vรญctima a los monederos de los hackers. Para hacer esto, utiliza la funciรณn AddClipboardFormatListener, a fin de monitorear los cambios en el portapapeles y aplicar las reglas de reemplazo.
Adicionalmente, el malware puede exfiltrar archivos relacionados con bitcoin y criptomonedas para robar las carteras de sus vรญctimas. Esto se hace a travรฉs de un recorrido en el sistema de archivos de cada unidad disponible en el hardware. Asรญ se buscan los nombres que contengan ciertos tรฉrminos relacionado con criptomonedas y se hace la exfiltraciรณn.
Las investigaciones indican ademรกs que, con sus รบltimas actualizaciones, KryptoCibule puede ejecutar cryptojacking, al minar monero usando el CPU del hardware infectado mediante el programa de cรณdigo abierto XMRig. Tambiรฉn puede hacer minerรญa maliciosa de ETH si hay una GPU dedicada disponible, utilizando Kawpowminer. Ambos programas estรกn configurados para conectarse a un servidor de minerรญa controlado por los hackers en el proxy Tor.
Segรบn ESET, al momento de elaborar su escrito las carteras utilizadas para el secuestro del portapapeles habรญan recibido un poco mรกs de 1.800 dรณlares estadounidenses en bitcoin y ether.
ยซPudimos descubrir al menos cuatro carteras de bitcoin adicionales que probablemente pertenezcan a los operadores de KryptoCibuleยป, agregaron. Suponen que los hackers han robado mรกs dinero a travรฉs de este mรฉtodo, considerando que el anterior monto no parece suficiente para justificar el esfuerzo de desarrollo observado.
KryptoCibule se propaga por archivos torrent
Matthieu Faou, uno de los investigadores de ESET que hace seguimiento al malware, seรฑala que se han identificado diferentes versiones de KryptoCibule, lo que ha permitido al laboratorio de la compaรฑรญa trazar su evoluciรณn desde diciembre de 2018.
El malware es un troyano escrito en lenguaje C#, que incorpora nuevas capacidades de manera regular y se encuentra en constante desarrollo. KryptoCibule hace un uso de Tor y el protocolo BitTorrent en su infraestructura de comunicaciรณn, mientras otros softwares se descargan en segundo plano.
El malware, tal y como estรก escrito, emplea algo de software legรญtimo. Algunos programas como Tor o el cliente torrent Transmission estรกn integrados en el instalador. Otros, como el httpd de Apache y el servidor SFTP Buru, se descargan en el momento de su ejecuciรณn.
Matthieu Faou, investigador de ESET.
Segรบn los analistas de ESET, el malware usa BitTorrent para propagarse a nuevas vรญctimas y descargar herramientas y actualizaciones adicionales. ยซSe propaga a travรฉs de torrents maliciosos para archivos ZIP, cuyo contenido se hace pasar por instaladores de software y juegos pirateados o crackeadosยป.
Hasta ahora KryptoCibule parece apuntar principalmente a usuarios de la Repรบblica Checa y Eslovaquia, aunque un 12% de las vรญctimas se encuentran en otros paรญses. Ademรกs, evita ser detectado por los antivirus de ESET, Avast y AVG.
El uso de malwares para robar criptomonedas y del cryptojacking para aprovechar el poder de cรณmputo de otros usuarios son de las amenazas que mรกs afectan al ecosistema de criptomonedas. Ante este avance constantemente se desarrollan nuevos softwares.
En esta lรญnea de acciรณn, la empresa especializada en seguridad, BlackBerry, recientemente integrรณ el software de anรกlisis de contenido de Intel para detectar ataques de cryptojacking en computadores con sistema operativo Windows, tal como los expuso CriptoNoticias en un reciente artรญculo.
