Ativos desde 2018, códigos maliciosos foram identificados por pesquisadores da ESET; eles permitem minerar e extraviar Bitcoin e Ethereum, além de capturar dados do dispositivo infectado
Uma nova família de malware, até então desconhecida e não documentada, foi identificada pelos pesquisadores da ESET, empresa especializada em softwares de proteção antivírus e antispyware. O código malicioso, batizado de KryptoCibule, trata-se, na verdade, de uma ameaça tripla quando o assunto são criptomoedas.
Além de usar os recursos da vítima para o roubo das moedas, ele tenta assumir o controle das transações, substituindo endereços de carteiras na área de transferência e exfiltrar arquivos, ou seja, capturar dados, arquivos e documentos do dispositivo infectado em favor do criminoso.
Foram identificadas várias versões do KryptoCibule, permitindo o acompanhamento de sua evolução desde dezembro de 2018. No entanto, ele permanece ativo, e não atraia atenção até então. Segundo a telemetria da empresa, mais de 85% das detecções foram localizadas na República Tcheca e na Eslováquia. Isso reflete a base de usuários do site onde os torrents infectados estão localizados.
De acordo com Camilo Gutiérrez Amaya, chefe do laboratório da ESET América Latina, as carteiras usadas pelo componente para assumir o controle da área de transferência haviam recebido pouco mais de US$ 1,8 mil em Bitcoin e Ethereum. O número de vítimas também é baixo, na casa das centenas, justificado pelo fato de o malware estar confinado principalmente a dois países.
“Novos recursos foram adicionados ao KryptoCibule regularmente ao longo de sua vida útil e ele continua em desenvolvimento ativo. Os operadores por trás desse malware conseguiram obter mais dinheiro roubando carteiras e minerando criptomoedas do que encontramos nas carteiras usadas pelo componente para aquisição da área de transferência. A receita gerada por este componente por si só não parece suficiente para justificar o esforço de desenvolvimento observado”, afirmou.
Como atua o KryptoCibule
Segundo a ESET, o KryptoCibule faz uso extensivo da rede Tor, software livre e de código aberto que permite navegação anônima na deep web, e do protocolo BitTorrent, em sua infraestrutura de comunicação. O malware também usa alguns programas legítimos, como Tor e Transmission, que são fornecidos com o instalador. Além disso, outros são baixados em tempo de execução, incluindo o Apache httpd e o servidor SFTP Buru.
Outra característica do malware é se espalhar por meio de torrents de arquivos ZIP maliciosos. Seu conteúdo simplesmente se disfarça de software pirateado ou crackeado e como instaladores de jogos.
Depois da execução do Setup.exe, o malware e os arquivos de instalação esperados são decodificados. Só então o instalador se inicia e o programa criminoso começa a agir em segundo plano, sem dar pista ou deixar qualquer vestígio de sua interação com a máquina infectada.
Além disso, as vítimas também são usadas para disseminar os torrents usados pelo malware e os torrents maliciosos que ajudam a propagá-lo. Isso garante que esses arquivos estejam amplamente disponíveis para download por outras pessoas, o que ajuda a acelerar os downloads e fornecer redundância.
FONTE: https://olhardigital.com.br/fique_seguro/noticia/novo-malware-rouba-criptomoedas-e-tenta-assumir-controle-de-transacoes/107276