Uma nova família de malware, até então desconhecida e não documentada, foi identificada pelos pesquisadores da ESET, empresa especializada em softwares de proteção antivírus e antispyware. O código malicioso, batizado de KryptoCibule, trata-se, na verdade, de uma ameaça tripla quando o assunto são criptomoedas.

Além de usar os recursos da vítima para o roubo das moedas, ele tenta assumir o controle das transações, substituindo endereços de carteiras na área de transferência e exfiltrar arquivos, ou seja, capturar dados, arquivos e documentos do dispositivo infectado em favor do criminoso.

Foram identificadas várias versões do KryptoCibule, permitindo o acompanhamento de sua evolução desde dezembro de 2018. No entanto, ele permanece ativo, e não atraia atenção até então. Segundo a telemetria da empresa, mais de 85% das detecções foram localizadas na República Tcheca e na Eslováquia. Isso reflete a base de usuários do site onde os torrents infectados estão localizados.

ReproduçãoCamilo Gutiérrez Amaya, chefe do laboratório da Eset para a América Latina, afirma que o malware ainda está ativo, embora confinado à República Checa e Eslováquia. Crédito: Eset/Divulgação

 

De acordo com Camilo Gutiérrez Amaya, chefe do laboratório da ESET América Latina, as carteiras usadas pelo componente para assumir o controle da área de transferência haviam recebido pouco mais de US$ 1,8 mil em Bitcoin e Ethereum. O número de vítimas também é baixo, na casa das centenas, justificado pelo fato de o malware estar confinado principalmente a dois países.

“Novos recursos foram adicionados ao KryptoCibule regularmente ao longo de sua vida útil e ele continua em desenvolvimento ativo. Os operadores por trás desse malware conseguiram obter mais dinheiro roubando carteiras e minerando criptomoedas do que encontramos nas carteiras usadas pelo componente para aquisição da área de transferência. A receita gerada por este componente por si só não parece suficiente para justificar o esforço de desenvolvimento observado”, afirmou.

Como atua o KryptoCibule

Segundo a ESET, o KryptoCibule faz uso extensivo da rede Tor, software livre e de código aberto que permite navegação anônima na deep web, e do protocolo BitTorrent, em sua infraestrutura de comunicação. O malware também usa alguns programas legítimos, como Tor e Transmission, que são fornecidos com o instalador. Além disso, outros são baixados em tempo de execução, incluindo o Apache httpd e o servidor SFTP Buru.

Outra característica do malware é se espalhar por meio de torrents de arquivos ZIP maliciosos. Seu conteúdo simplesmente se disfarça de software pirateado ou crackeado e como instaladores de jogos.

Depois da execução do Setup.exe, o malware e os arquivos de instalação esperados são decodificados. Só então o instalador se inicia e o programa criminoso começa a agir em segundo plano, sem dar pista ou deixar qualquer vestígio de sua interação com a máquina infectada.

Além disso, as vítimas também são usadas para disseminar os torrents usados pelo malware e os torrents maliciosos que ajudam a propagá-lo. Isso garante que esses arquivos estejam amplamente disponíveis para download por outras pessoas, o que ajuda a acelerar os downloads e fornecer redundância.

 

Fonte: Abeinfo