4 september 2020 15:22

ESET Research ontdekt Krypto Cibule: de multitasking en multi-valuta cryptodief

Onderzoekers van ESET hebben een tot dusver niet gedocumenteerde trojaan-malwarefamilie ontdekt die zich verspreidt via kwaadaardige torrents en die meerdere trucs gebruikt om zoveel mogelijk cryptomunten uit de slachtoffers te persen terwijl ze onder de radar blijft. ESET noemde die bedreiging KryptoCibule en volgens ESET-telemetrie lijkt de malware zich nu voornamelijk te richten op gebruikers in Tsjechië en Slowakije.

Deze malware is een drievoudige bedreiging wat cryptomunten betreft. Het gebruikt de middelen van het slachtoffer om munten te delven, probeert transacties te kapen door portefeuilleadressen op het klembord te vervangen en cryptomunten-gerelateerde bestanden te exfiltreren. Ondertussen zet het meerdere technieken in om detectie te voorkomen. In zijn communicatie-infrastructuur maakt KryptoCibule uitgebreid gebruik van het Tor-netwerk en het BitTorrent-protocol.

“Zoals die geschreven is, gebruikt de malware legitieme software. Sommige ervan, zoals Tor en de torrent-client van Transmission, worden bij het installatieprogramma geleverd; andere, zoals Apache httpd en de Buru SFTP-server worden tijdens de runtime gedownload ”, aldus Matthieu Faou, ESET-onderzoeker die de nieuwe malwarefamilie ontdekte.

ESET heeft meerdere versies van KryptoCibule geïdentificeerd, zodat de evolutie ervan tot in december 2018 kan getraceerd worden en het blijft actief. Gedurende zijn levensduur worden regelmatig nieuwe functionaliteiten aan de malware toegevoegd, en deze wordt ook voortdurend verder ontwikkeld.

De meeste slachtoffers waren in Tsjechië en Slowakije. Dit is te zien in het gebruikersbestand van de site waarop de geïnfecteerde torrents aangetroffen werden. Bijna alle kwaadaardige torrents waren beschikbaar op uloz.to, in bovendien specifiek endpointbeveiligingsoplossingen van ESET, Avast en AVG. ESET heeft zijn hoofdkantoor in Slowakije, terwijl de andere twee eigendom zijn van Avast, met hoofdkantoor in Tsjechië.

“KryptoCibule heeft drie componenten – cryptomining, clipboardkaping en bestandexfiltratie. Deze gebruiken geïnfecteerde hosts om cryptomunten te verkrijgen”, vertelt Faou. “Vermoedelijk hebben de malware-operatoren meer geld kunnen verdienen door portefeuilles te stelen en cryptomunten te delven dan wat aangetroffen werd in de portefeuilles gebruikt door de component voor het kapen van het clipboard. Alleen lijkt de opbrengst van dat onderdeel onvoldoende om de waargenomen ontwikkelingsinspanning te rechtvaardigen”, verduidelijkt hij.

Lees, voor meer technische details over KryptoCibule, de blogpost “KryptoCibule: The multitasking multicurrency cryptostealer” op WeLiveSecurity. Voor het laatste nieuws van ESET Research, volg zeker ESET research on Twitter.

KryptoCibule: componenten en tools