Lo ha descubierto ESET

KryptoCibule, el nuevo troyano que roba criptomonedas

225
hackers norcoreanos roban criptomonedas

La compañía de ciberseguridad ESET ha alertado de que su laboratorio ha descubierto una familia de troyanos desconocida hasta ahora, que se distribuye a partir de archivos torrent maliciosos y que tiene como finalidad robar criptomonedas a sus víctimas.

Esta familia de malware ha sido denominada por ESET KryptoCibule y, de acuerdo con la telemetría de la compañía, tiene sus objetivos principales en la República Checa y en Eslovaquia.

Según ha informado ESET, KryptoCibule supone una triple amenaza para los usuarios de criptomonedas: usa los recursos de la víctima para minar monedas, intenta secuestrar transacciones reemplazando las direcciones de las carteras en el portapapeles y sustrae archivos relacionados con criptomonedas.

Todo ello lo hace utilizando múltiples técnicas que tratan de evitar su detección y, en sus infraestructuras de comunicación, KryptoCibule hace un uso extensivo de la red Tor y del protocolo BitTorrent.

“El malware, tal y como está escrito, emplea algo de software legítimo. Algunos programas como Tor o el cliente torrent Transmission están integrados en el instalador. Otros, como el httpd de Apache y el servidor SFTP Buru, se descargan en el momento de su ejecución”, advierte Matthieu Faou, el investigador que ha descubierto este malware.

KryptoCibule tiene varias versiones y está en constante desarrollo

ESET ha descubierto distintas versiones de KryptoCibule y el laboratorio de la compañía ha aprovechado para trazar su evolución desde diciembre de 2018. Actualmente, el troyano no solo sigue activo sino que incorpora nuevas capacidades de manera regular y se encuentra en constante desarrollo.

Asimismo, la mayor parte de las víctimas de KryptoCibule se encuentran en la República Checa y en Eslovaquia como se refleja en la base de usuarios que acceden al sitio en el que figuran los archivos torrent infectados.

La mayoría de los archivos maliciosos se encontraban en uloz.to, una de las páginas webs más populares de ambos países, usada para compartir todo tipo de ficheros.

Además, KryptoCibule intenta evitar ser detectado específicamente por ESET, Avast y AVG. La sede de ESET se encuentra en Eslovaquia, mientras que la de Avast (que también es propietaria de AVG) está en la República Checa.

“KryptoCibule cuenta con tres componentes que explotan activamente los recursos de los sistemas infectados para obtener criptomonedas: las técnicas propias del criptominado, el secuestro del portapapeles y la extracción de archivos”, ha señalado Faou.

“Es probable que los operadores del malware consiguieran mucho más dinero procedente del robo de las carteras de criptomonedas y de minar estas criptodivisas que lo que hemos encontrado en las carteras utilizadas por el componente de secuestro del portapapeles, ya que lo que hemos observado no justificaría los esfuerzos de desarrollo”, ha agregado.

Artículo
KrytoCibule, el nuevo troyano que roba criptomonedas
Nombre
KrytoCibule, el nuevo troyano que roba criptomonedas
Descripcion
La compañía de ciberseguridad ESET ha alertado de que su laboratorio ha descubierto una familia de troyanos desconocida hasta ahora, que se distribuye a partir de archivos torrent maliciosos y que tiene como finalidad robar criptomonedas a sus víctimas.
Autor
Publico
Escudo Digital
Logo