El laboratorio de ESET ha descubierto una familia de troyanos de la que no se tenía constancia hasta ahora
Esta familia se distribuye a partir de archivos torrent maliciosos y que tiene como objetivo robar criptomonedas de sus víctimas. ESET ha denominado a esta familia de malware KryptoCibule y, de acuerdo con la telemetría de la compañía, tiene sus objetivos principales en la República Checa y en Eslovaquia.
KryptoCibule supone una triple amenaza para los usuarios de criptomonedas: utiliza los recursos de la víctima para minar monedas, intenta secuestrar transacciones reemplazando las direcciones de las carteras en el portapapeles y sustrae archivos relacionados con criptomonedas, todo ello mediante el uso de múltiples técnicas que buscan evitar su detección. KryptoCibule hace un uso extensivo de la red Tor y del protocolo BitTorrent en sus infraestructuras de comunicación.
“El malware, tal y como está escrito, emplea algo de software legítimo. Algunos programas como Tor o el cliente torrent Transmission están integrados en el instalador. Otros, como el httpd de Apache y el servidor SFTP Buru, se descargan en el momento de su ejecución”, alerta Matthieu Faou, investigador de ESET que ha descubierto este malware.
ESET ha identificado diferentes versiones de KryptoCibule, lo que ha permitido al laboratorio de la compañía trazar su evolución desde diciembre de 2018. El troyano, que sigue activo en estos momentos, incorpora nuevas capacidades de manera regular y se encuentra en constante desarrollo.
La mayoría de las víctimas de KryptoCibule se encuentran en la República Checa y en Eslovaquia, lo que se refleja en la base de usuarios que acceden al sitio donde se encuentran los archivos torrent infectados. La mayoría de los archivos maliciosos se encontraban en uloz.to, una de las webs más populares de ambos países, usada para compartir todo tipo de ficheros. Además, KryptoCibule intenta evitar ser detectado específicamente por ESET, Avast y AVG. La sede de ESET se encuentra en Eslovaquia, mientras que la de Avast (que es propietaria también de AVG) está en la República Checa.
“KryptoCibule cuenta con tres componentes que explotan activamente los recursos de los sistemas infectados para obtener criptomonedas: las técnicas propias del criptominado, el secuestro del portapapeles y la extracción de archivos”, explica Faou. “Es probable que los operadores del malware consiguieran mucho más dinero procedente del robo de las carteras de criptomonedas y de minar estas criptodivisas que lo que hemos encontrado en las carteras utilizadas por el componente de secuestro del portapapeles, ya que lo que hemos observado no justificaría los esfuerzos de desarrollo”.
