Výskumníkom sa podarilo odhaliť typ trójskeho koňa, ktorého obeťami sú predovšetkým internetoví používatelia z Česka a Slovenska. Doteraz nepreskúmaný typ malvéru na svoje obete vyčkáva v torrentoch, nvá rodina malvéru dostala pomenovanie KryptoCibule.
Prevádzkovatelia KryptoCibule sa pomocou svojho výtvoru snažia predovšetkým o finančné obohatenie a preto sa zameriavajú na majiteľov kryptomien. Nielenže zneužívajú počítač obete za účelom dolovania kryptomien, pokúšajú sa taktiež presmerovať transakcie pozmenením adresy peňaženky v schránke. Okrem toho škodlivý softvér dokáže z napadnutého zariadenia exfiltrovať citlivé súbory súvisiace s kryptomenami.
Experti identifikovali niekoľko verzií KryptoCibule, pričom najstaršia pochádza z decembra 2018. Odvtedy sa malvér neustále vyvíjal a zdokonaľoval. KryptoCibule paralelne implementuje viacero techník, ktoré zabraňujú odhaliť jej aktivitu. Vo svojej komunikačnej infraštruktúre s C&C serverami využíva sieť Tor a protokol BigTorrent.
„Malvér, napísaný v C#, využíva legitímny softvér. Niektoré, napríklad Tor a torrentový klient Transmission, sú dodávané s inštalátorom; ďalšie sa sťahujú za behu, vrátane Apache httpd a servera Buru SFTP,“ podotkol vo svojom blogu Matthieu Faou, výskumník ESETu, ktorý malvérovú rodinu odhalil. Väčšina z infikovaných torrentov sa objavila na platforme na zdieľanie súborov ulož.to.
Tá je široko využívaná najmä v Českej republike a na Slovensku, preto väčšina z niekoľkých stoviek obetí pochádza práve z týchto krajín. Autori KryptoCibule túto geolokáciu podľa všetkého plánovali – modul kontroly prítomnosti antivírusového programu v počítači obete je nastavený na identifikáciu ESETu, Avastu alebo AVG. Všetky z menovaných spoločností pochádzajú práve z Česka.
Zdroj: CS
