Компанія ESET — лідер у галузі інформаційної безпеки — повідомляє про виявлення нового сімейства троянських шкідливих програм. Загроза поширюється через шкідливі торренти та використовує численні прийоми, щоб отримати якомога більше криптовалюти від жертв та при цьому уникнути виявлення. Загроза отримала назву KryptoCibule та, відповідно до даних телеметрії ESET, вона спрямована насамперед на користувачів у Чехії та Словаччині.
Це шкідливе програмне забезпечення використовує ресурси пристрою жертви для видобутку криптовалют, а також намагається отримати несанкціонований доступ до транзакцій користувачів, замінюючи адреси гаманця в буфері обміну. Крім цього, загроза викрадає файли, пов’язані з криптовалютою, та використовує декілька методів для уникнення виявлення. KryptoCibule широко використовує мережу Tor та протокол BitTorrent у своїй інфраструктурі зв’язку.
«Загроза використовує деяке легітимне програмне забезпечення, частина з якого, наприклад, Tor та торрент-клієнт Transmission, постачаються в комплекті з інсталятором. Інші завантажуються під час виконання, включаючи Apache httpd та сервер Buru SFTP», — коментує Матьє Фау, дослідник ESET.
Спеціалісти ESET виявили декілька версій KryptoCibule, які дозволяють простежити розвиток цієї загрози з грудня 2018 року. Аналіз різних версій показав, що до шкідливого програмного забезпечення регулярно додавався новий функціонал та можливості.
Більшість жертв були зафіксовані в Чехії та Словаччині. Оскільки майже всі шкідливі торренти були доступні на uloz.to — сайті обміну файлами, який є популярним в цих двох країнах. Крім цього, KryptoCibule спеціально перевіряє на наявність встановлених продуктів безпеки ESET, Avast та AVG. Можливим поясненням цього є те, що зазначені антивірусні рішення є найбільш популярними в цих країнах, адже штаб-квартира ESET знаходиться у Словаччині, а інші два продукти є власністю компанії Avast, штаб-квартира якої знаходиться в Чехії.
«KryptoCibule має три компоненти, які використовують інфіковані хости з метою отримання криптовалют: криптомайнінг, отримання несанкціонованого доступу до буфера обміну та викрадення файлів, — пояснює Матьє Фау. — Імовірно, оператори шкідливого програмного забезпечення планували заробити більше грошей на викраденні криптогаманців та видобутку криптовалюти, ніж на тому, що ми виявили в гаманцях, які використовувались компонентом для отримання доступу до буфера обміну. Дохід, який зловмисники могли отримати завдяки цьому компоненту, здається недостатнім, щоб виправдати зусилля, витрачені на вдосконалення загрози».
Більш детальна інформація про шкідливе програмне забезпечення KryptoCibule доступна за посиланням.