0
0
Os pesquisadores de segurança da empresa de segurança eslovaca ESET descobriram uma nova família de malware que eles dizem ter usado uma variedade de técnicas para roubar criptomoedas de usuários desavisados desde pelo menos dezembro de 2018.
O malware, que foi denominado KryptoCibule, usa uma variedade de tecnologia legítima – incluindo Tor e o cliente de torrent Transmission – como parte de seu esquema para minerar criptomoedas, desviar transações de moeda digital para as contas de seus criadores e plantar uma porta dos fundos para hackers para acessar remotamente sistemas infectados.
KryptoCibule representa uma ameaça de três frentes quando se trata de criptomoeda .
Em primeiro lugar, ele explora a CPU e a GPU de computadores infectados para extrair Monero e Ethereum. Em uma tentativa de evitar a detecção pelo usuário legítimo do computador, o KryptoCibule monitora o nível da bateria dos dispositivos infectados e não fará nenhuma mineração se a bateria estiver com menos de 10% da capacidade.
Se o status do nível da bateria estiver entre 10% e 30%, no entanto, Ethereum-mining via GPU é suspenso e apenas Monero-mining via CPU ocorre, embora limitado a um thread.
No entanto, se o nível da bateria for 30% ou mais e não houver atividade do usuário nos últimos três minutos, “os mineradores de GPU e CPU funcionam sem limites”.
Dessa forma, o KryptoCibule tenta extrair sub-repticiamente criptomoedas em PCs infectados, sem que os usuários detectem nada suspeito.
Em segundo lugar, o malware KryptoCibule monitora a área de transferência do usuário. Se ele detectar que um endereço de carteira de criptomoeda legítimo foi colocado na área de transferência, ele silenciosamente o substitui por um seu próprio – o que significa que os usuários podem, inadvertidamente, transferir fundos diretamente para os bolsos digitais dos hackers.
Em terceiro lugar, os rastreadores de malware se conectam a um computador infectado, procurando arquivos que possam conter conteúdo de interesse – como senhas e chaves privadas.
E se isso não fosse ruim o suficiente, o componente RAT (Trojan de acesso remoto) do KryptoCibule permite que os invasores executem comandos nos PCs das vítimas por meio de um backdoor e instalem códigos maliciosos adicionais.
De acordo com a pesquisa da ESET, o KryptoCibule foi distribuído por meio de torrents maliciosos que se faziam passar por versões piratas de jogos populares e outros softwares em uloz.to; um popular site de compartilhamento de arquivos na Tcheca e na Eslováquia.
Para disfarçar seu comportamento, os usuários que baixam os torrents e executam o instalador não percebem que um código malicioso está sendo executado em segundo plano.
O link para a República Tcheca e a Eslováquia é reforçado no que diz respeito aos métodos do malware para evitar a detecção. Se o KryptoCibule detectar que está sendo instalado em PCs que executam Avast, AVG e ESET (todos os produtos de segurança com sedes nos dois países), ele deliberadamente não implementa seu código de mineração de criptomoeda, ajudando-o a evitar atenção.
Até o momento, talvez devido ao seu foco geográfico e ao desejo de permanecer nas sombras, o KryptoCibule não parece ter infectado um grande número de computadores. A ESET acredita que as vítimas podem ser centenas em vez de milhares. No entanto, ele permaneceu ativo na natureza desde pelo menos o final de 2018 e tem sido atualizado regularmente com novos recursos.
Embora ameaças como o KryptoCibule continuem sendo ativamente desenvolvidas, não seria sensato subestimá-las.
FONTE: TRIPWIRE