Компания ESET — лидер в области информационной безопасности — сообщает об обнаружении нового семейства троянских вредоносных программ. Угроза распространяется через вредоносные торренты и использует многочисленные приемы, чтобы получить как можно больше криптовалюты от жертв и при этом избежать обнаружения. Угроза получила название KryptoCibule и, согласно данным телеметрии ESET, она направлена прежде всего на пользователей в Чехии и Словакии.
Это вредоносное программное обеспечение использует ресурсы устройства жертвы для добычи криптовалюты, а также пытается получить несанкционированный доступ к транзакциям пользователей, заменяя адреса кошелька в буфере обмена. Кроме этого, угроза похищает файлы, связанные с криптовалютой, и использует несколько методов, чтобы избежать обнаружения. KryptoCibule широко использует сеть Tor и протокол BitTorrent в своей инфраструктуре связи.
«Угроза использует некоторое легитимное программное обеспечение, часть из которого, например, Tor и торрент-клиент Transmission, поставляются в комплекте с инсталлятором. Другие загружаются во время выполнения, включая Apache httpd и сервер Buru SFTP», — комментирует Матье Фау, исследователь ESET.
Специалисты ESET обнаружили несколько версий KryptoCibule, которые позволяют проследить развитие этой угрозы с декабря 2018 года. Анализ различных версий показал, что во вредоносное программное обеспечение регулярно добавлялся новый функционал и возможности.
Большинство жертв были зафиксированы в Чехии и Словакии. Поскольку почти все вредоносные торренты были доступны на uloz.to — сайте обмена файлами, который является популярным в этих двух странах. Кроме этого, KryptoCibule специально проверяет на наличие установленных продуктов безопасности ESET, Avast и AVG. Возможным объяснением этого является то, что указанные антивирусные решения являются наиболее популярными в этих странах, ведь штаб-квартира ESET находится в Словакии, а другие два продукта являются собственностью компании Avast, штаб-квартира которой находится в Чехии.
«KryptoCibule имеет три компонента, которые используют инфицированные хосты с целью получения криптовалюты: криптомайнинг, получение несанкционированного доступа к буферу обмена и похищение файлов, — объясняет Матье Фау. — Вероятно, операторы вредоносного программного обеспечения планировали заработать больше денег на похищении криптокошельков и добычи криптовалюты, чем то, что мы обнаружили в кошельках, которые использовались компонентом для доступа в буфер обмена. Доход, который злоумышленники могли получить благодаря этому компоненту, кажется недостаточным, чтобы оправдать усилия, потраченные на совершенствование угрозы».
Более подробная информация о вредоносном программном обеспечении KryptoCibule доступна по ссылке.