Egy eddig nem ismert rosszindulatú trójai szoftvercsaládot fedeztek fel az ESET kutatói, amely kártékony torrenteken keresztül terjedve többféle trükköt is bevet azért, hogy annyi kriptovalutától fossza meg áldozatait, amennyitől csak lehetséges – mindezt észrevétlenül. A KryptoCibule névre keresztelt kártevő az ESET telemetrikus rendszerének megfigyelései alapján mindenekelőtt (egyelőre) a csehországi és szlovákiai internet-használókat célozza meg. (Illusztráció: PCpult)
A vírus háromszorosan veszélyes: felhasználja az áldozat erőforrásait kriptovaluták bányászatához, megpróbálja eltéríteni a tranzakciókat a vágólapra helyezett online pénztárca-azonosító adatok kicserélésével, és kiszűri a kriptovalutával kapcsolatos fájlokat – mindezt úgy, hogy közben igyekszik elkerülni az észlelést. A KryptoCibule az internetes anonimitást lehetővé tévő Tor-hálózatot és a BitTorrent protokollt használja kommunikációs infrastruktúrájához.
„A rosszindulatú program működése közben néhány legitim szoftvert is felhasznál. Közülük néhány – például a Tor és a Transmission torrent kliens – közös csomagban vannak a telepítővel; mások később töltődnek le, beleértve az Apache httpd-t és a Buru SFTP-t” – mondta Matthieu Faou, az ESET kutatója, aki az új rosszindulatú szoftvercsaládot leleplezte és vizsgálta.
Az ESET sikeresen azonosította a napjainkban is aktív KryptoCibule több változatát, így annak fejlődése egészen 2018 decemberéig visszakövethetővé vált. A rosszindulatú szoftvert kidolgozói rendszeresen bővítették új és újabb képességekkel, és úgy látszik, továbbra is folyamatos fejlesztés alatt áll.
Az áldozatok döntő többsége Csehországból és Szlovákiából származik, ezt tükrözi a fertőzött torrenteknek otthont adó weboldalak felhasználói adatbázisa is. Jóformán az összes kártékony torrent megtalálható az uloz.to fájlmegosztó oldalon, amely mindkét országban nagy népszerűségnek örvend.
„A KryptoCibule háromféle módon használja fel a fertőzött gazdagépeket a kriptovaluták megszerzésére: kriptobányászattal, valamint a vágólapra tett adatok megkaparintásával és a fájlok kiszűrésével – magyarázta Faou. – Valószínűleg a rosszindulatú szoftver operátorai több pénzt kereshettek kriptopénztárcák adatainak ellopásával és kriptovaluták bányászásával, mint a vágólapról megszerzett adatokkal, az így generált bevétel ugyanis önmagában vélhetően nem teszi eléggé jövedelmezővé a tevékenységet a szükséges fejlesztési költségekkel szembe állítva” – tette hozzá.