Investigadores de ESET, compañía líder en detección proactiva de amenazas, descubrieron una familia de malware, que hasta ahora no había sido documentada, a la que denominaron KryptoCibule.
Este malware es una triple amenaza en lo que respecta a las criptomonedas, ya que utiliza los recursos de la víctima para minar monedas, intenta tomar el control de las transacciones reemplazando las direcciones de las billeteras en el portapapeles, y exfiltra archivos (código malicioso tiene la capacidad de enviar documentos desde la maquina afectada al cibercriminal) relacionados con criptomonedas; todo esto mientras hace uso de múltiples técnicas para evitar la detección. Por otra parte, KryptoCibule hace un uso extensivo de la red Tor y el protocolo BitTorrent en su infraestructura de comunicación.
El malware, también emplea algunos software legítimos. Algunos, como Tor y Transmission, están empaquetados con el instalador; otros se descargan en tiempo de ejecución, incluidos Apache httpd y el servidor SFTP Buru.
KryptoCibule se propaga a través de torrents maliciosos para archivos ZIP cuyo contenido se hace pasar por instaladores de software y juegos pirateados o crackeados. Cuando se ejecuta Setup.exe, decodifica tanto el malware como los archivos de instalación esperados. Luego lanza el malware (en segundo plano) y el instalador esperado, sin darle a la víctima ninguna indicación de que algo anda mal.
Además, las víctimas también son utilizadas para sembrar tanto los torrents utilizados por el malware como los torrents maliciosos que ayudan a propagarlo. Esto asegura que estos archivos estén ampliamente disponibles para que otros los descarguen, lo que ayuda a acelerar las descargas y proporciona redundancia.
Los investigadores descubrieron varias versiones de este malware, lo que permitió rastrear su evolución desde diciembre de 2018. Según la telemetría de ESET, más del 85% de las detecciones se ubicaron en Chequia y Eslovaquia. Esto refleja la base de usuarios del sitio en el que se encuentran los torrents infectados.
El malware KryptoCibule se mantiene activo, pero no parece haber atraído mucha atención hasta ahora. “Al momento de publicar esta información, las billeteras utilizadas por el componente para tomar control del portapapeles habían recibido un poco más de 1800 dólares estadounidenses en Bitcoin y Ethereum. El número relativamente bajo de víctimas (de cientos) y el hecho de estar limitado en su mayoría a dos países contribuyen a su bajo perfil. Se han agregado de forma regular nuevas capacidades a KryptoCibule durante su vida útil y continúa en desarrollo activo. Presumiblemente, los operadores detrás de este malware pudieron obtener más dinero robando billeteras y extrayendo criptomonedas que lo que encontramos en las billeteras utilizadas por el componente para la toma de control del portapapeles. Los ingresos generados por ese componente por sí solos no parecen suficientes para justificar el esfuerzo de desarrollo observado.”, comentó Camilo Gutiérrez Amaya, Jefe del Laboratorio de ESET Latinoamérica.
Fuente: Global Media IT
¿Quieres conocer más acerca de las criptomonedas? Con el curso de Bitcoins y Criptomonedas, que realizamos en EducaciónIT, te convertirás en un experto en las criptomonedas, conociendo el por qué de la creación, qué cambios traen al mundo actual, y cómo empezar a utilizar y conseguir bitcoin y otras criptomonedas.
- El teclado para ‘copiar y pegar’ código de Stack Overflow, una inocentada convertida en gadget (y ya en preventa) – 6 octubre, 2021
- Los papeles de Pandora: cómo Python y el aprendizaje automático han sido clave en una investigación mundial con datos masivos – 5 octubre, 2021
- China marca las directrices éticas de la IA nacional: un mayor control frente a los algoritmos de las grandes tecnológicas – 4 octubre, 2021
Deja una respuesta