ESET, identificó un malware que se propaga a través de torrents y constituye una triple amenaza ya que utiliza los recursos de la víctima para minar monedas
Quito, 7 de septiembre de 2020-Canal News Ecuador. Investigadores de ESET, compañía especializada en la detección proactiva de amenazas, descubrieron una familia de malware, que hasta ahora no había sido documentada, a la que denominaron KryptoCibule.
Este malware es una triple amenaza en lo que respecta a las criptomonedas, ya que utiliza los recursos de la víctima para minar monedas, intenta tomar el control de las transacciones reemplazando las direcciones de las billeteras en el portapapeles, y exfiltra archivos (código malicioso tiene la capacidad de enviar documentos desde la maquina afectada al cibercriminal) relacionados con criptomonedas; todo esto mientras hace uso de múltiples técnicas para evitar la detección. Por otra parte, KryptoCibule hace un uso extensivo de la red Tor y el protocolo BitTorrent en su infraestructura de comunicación.
El malware, también emplea algunos software legítimos. Algunos, como Tor y Transmission, están empaquetados con el instalador; otros se descargan en tiempo de ejecución, incluidos Apache httpd y el servidor SFTP Buru.
KryptoCibule se propaga a través de torrents maliciosos para archivos ZIP cuyo contenido se hace pasar por instaladores de software y juegos pirateados o crackeados. Cuando se ejecuta Setup.exe, decodifica tanto el malware como los archivos de instalación esperados. Luego lanza el malware (en segundo plano) y el instalador esperado, sin darle a la víctima ninguna indicación de que algo anda mal.
Además, las víctimas también son utilizadas para sembrar tanto los torrents utilizados por el malware como los torrents maliciosos que ayudan a propagarlo. Esto asegura que estos archivos estén ampliamente disponibles para que otros los descarguen, lo que ayuda a acelerar las descargas y proporciona redundancia.
Los investigadores descubrieron varias versiones de este malware, lo que permitió rastrear su evolución desde diciembre de 2018. Según la telemetría de ESET, más del 85% de las detecciones se ubicaron en Chequia y Eslovaquia. Esto refleja la base de usuarios del sitio en el que se encuentran los torrents infectados.
