La compañía de ciberseguridad ESET ha alertado de que su laboratorio ha descubierto una familia de troyanos desconocida hasta ahora, que se distribuye a partir de archivos torrent maliciosos y que tiene como finalidad robar criptomonedas a sus víctimas.
Esta familia de malware ha sido denominada por ESET KryptoCibule y, de acuerdo con la telemetría de la compañía, tiene sus objetivos principales en la República Checa y en Eslovaquia.
Según ha informado ESET, KryptoCibule supone una triple amenaza para los usuarios de criptomonedas: usa los recursos de la víctima para minar monedas, intenta secuestrar transacciones reemplazando las direcciones de las carteras en el portapapeles y sustrae archivos relacionados con criptomonedas.
Todo ello lo hace utilizando múltiples técnicas que tratan de evitar su detección y, en sus infraestructuras de comunicación, KryptoCibule hace un uso extensivo de la red Tor y del protocolo BitTorrent.
"El malware, tal y como está escrito, emplea algo de software legítimo. Algunos programas como Tor o el cliente torrent Transmission están integrados en el instalador. Otros, como el httpd de Apache y el servidor SFTP Buru, se descargan en el momento de su ejecución", advierte Matthieu Faou, el investigador que ha descubierto este malware.
KryptoCibule tiene varias versiones y está en constante desarrollo
ESET ha descubierto distintas versiones de KryptoCibule y ellaboratorio de la compañía ha aprovechado para trazar su evolución desdediciembre de 2018. Actualmente, el troyano no solo sigue activo sino que incorporanuevas capacidades de manera regular y se encuentra en constante desarrollo.
Asimismo, la mayor parte de las víctimas de KryptoCibule se encuentran en la República Checa y en Eslovaquia como se refleja en la base de usuarios que acceden al sitio en el que figuran los archivos torrent infectados.
La mayoría de los archivos maliciosos se encontraban en uloz.to, una de las páginas webs más populares de ambos países, usada para compartir todo tipo de ficheros.
Además, KryptoCibule intenta evitar ser detectado específicamente por ESET, Avast y AVG. La sede de ESET se encuentra en Eslovaquia, mientras que la de Avast (que también es propietaria de AVG) está en la República Checa.
"KryptoCibulecuenta con tres componentes que explotan activamente los recursos de lossistemas infectados para obtener criptomonedas: las técnicas propias delcriptominado, el secuestro del portapapeles y la extracción de archivos", haseñalado Faou.
"Es probable quelos operadores del malware consiguieran mucho más dinero procedente del robo delas carteras de criptomonedas y de minar estas criptodivisas que lo que hemos encontradoen las carteras utilizadas por el componente de secuestro del portapapeles, yaque lo que hemos observado no justificaría los esfuerzos de desarrollo", haagregado.