Eset обнаружила троян KryptoCibule, который использует ресурсы жертвы для криптомайнинга, пытается перехватить транзакции, заменяя адреса кошельков в буфере обмена, ищет в системе файлы, связанные с платежными операциями и банковскими счетами. По данным ESET преступникам удалось получить уже около $1800 в Bitcoin и Ethereum только путем подмены данных кошельков жертв.

Совсем не бесплатное скачивание

Пользователи торрент-трекеров могут остаться без личных сбережений при скачивании из интернета пиратского контента.

Компания Eset сообщила CNews, что обнаружила новый троян KryptoCibule (его название составлено из чешских слов «крипто» и «лук»), который представляет тройную угрозу в отношении криптовалют. По данным ESET преступникам удалось получить уже около $1800 в

Bitcoin и Ethereum только путем подмены данных кошельков жертвы.

85% атак KryptoCibule нацелено на жителей Чехии и Словакии. Жертвами вредоносного трояна стали пользователи популярного в Чехии и Словакии сайта-файлообменника uloz.to.

Вирус использует ресурсы жертвы для криптомайнинга, пытается перехватить транзакции, заменяя адреса кошельков в буфере обмена, в итоге происходит утечка файлов, имеющих отношение к криптовалюте. Причем все это происходит одновременно. KryptoCibule широко использует сеть Tor (ПО для реализации луковой маршрутизации) и BitTorrent (сетевой протокол для кооперативного обмена файлами через интернет) в своей коммуникационной инфраструктуре.

На запрос CNews в пресс-службе Eset пояснили, что конфигурационный файл вредоноса настраивает onion-службы (службы сети Tor в даркнете) на зараженном хосте, которые доступны операторам через Tor. Последние версии KryptoCibule используют XMRig — программу с открытым исходным кодом, которая майнит Monero с помощью CPU (central processing unit, центральный блок обработки), а также kawpowminer — еще одну программу с открытым исходным кодом, которая майнит Ethereum с помощью GPU (graphics processing unit, графический процессор).

Вредонос проверяет уровень заряда батареи устройства пользователя и прекращает криптомайнинг, если он падает до 30%. Это позволяет избежать подозрений жертвы и предотвратить обнаружение.

Еще один компонент KryptoCibule использует функцию AddClipboardFormatListener для отслеживания изменений в буфере обмена. Цель вредоноса — найти в буфере обмена данные криптокошелька жертвы и подменить их данными криптокошелька злоумышленника.

Следующий компонент изучает файловую систему зараженного устройства и ищет файлы по заданным критериям: "wallet.dat", "utc—2014", "utc—2015", "utc—2016", "utc—2017", "utc—2018", "utc—2019", "utc—2020", ".address.txt", "electrum", "bitcoin", "litecoin", "ethereum", "cardano", "zcash", "monero", "cripto", "krypto", "binance", "tradeogre", "coinbase", "tether", "daedalus", "stellar", "tezos", "chainlink", "blockchain", "verge", "bittrex", "ontology", "vechain", "doge", "qtum", "augur", "omisego", "digibyte", "seele", "enjin", "steem", "bytecoin", "zilliqa", "zcoin", "miner", "xmrig", "xmr-stak","electroneum", "heslo", "waves", "banka", "crypto", "hesla", "seed", "metamask", "antminer", "trezor", "ledger", "private", "trx", "exodus", "password", "jaxx", "guarda", "atomic.exe", "copay.exe", "Green Address Wallet.exe", "msigna.exe", "ArmoryQT.exe", ".ssh", ".aws", "Desktop".

Большинство из этих слов так или иначе соотносятся к криптовалютой, банками, счетами, паролями т. д. Список также содержит термины, способные привести злоумышленника к важным файлам, в том числе, ключам .ssh, .aws. Все это позволяет злоумышленнику извлечь необходимые данные и использовать в своих интересах.

KryptoCibule устанавливает легитимный сервер Apache, который настроен на работу в режиме прокси без каких-либо ограничений и доступен в качестве onion-службы («луковой службы») на порту 9999. TCP-порт 9999 использует протокол управления передачей данных (TCP), который является одним из основных протоколов в сетях TCP/IP.

Вредоносная программа написана на языке C#. Она также использует некоторый лицензионный софт. Например, Tor и Transmission torrent client поставляются в комплекте с установщиком. Другое ПО загружается во время выполнения, включая Apache HTTP-сервер и сервер Buru SFTP.

Специалисты Eset обнаружили несколько версий этой вредоносной программы, что позволило проследить ее эволюцию до декабря 2018 г.

Как все начинается

При первом запуске вредоносной программы хосту присваивается уникальный идентификатор в формате — {noun}, («прилагательное», «существительное»). Используются случайные слова, взятые из двух жестко закодированных списков, которые обеспечивают более 10 млн уникальных комбинаций. Этот идентификатор затем применяется для идентификации хоста при обмене данными с серверами C&C (command&control, централизованные машины, которые могут отправлять команды и получать обратную связь от компьютеров из бот-сети).

Помимо компонентов, связанных с криптовалютой, вредонос обладает функцией удаленного доступа (remote administrate tool). Среди команд, которые он поддерживает, есть EXEC (executive, выполнение), которая позволяет выполнять произвольные команды, и SHELL (powershell), которая загружает сценарий PowerShell (расширяемое средство автоматизации от Microsoft с открытым исходным кодом) из C&C. Этот скрипт затем загружает бэкдор (вредоносный алгоритм), созданный с помощью инструмента постэксплуатации Pupy. Pupy – кросс-платформенный (Windows, Linux, OSX, Android) инструмент удаленного администрирования и постэксплуатации с открытым исходным кодом, написанный в основном на python.

Распространение KryptoCibule происходит через торрент с инфицированным ZIP-архивом, содержащим пиратский контент. Причем пять файлов являются общими для всех архивов установщика KryptoCibule: packed.001 – вредоносная программа; packed.002 — установщик для ожидаемого программного обеспечения. Оба они зашифрованы XOR с помощью ключей, содержащихся в Setup.exe. Алгоритм XOR шифрования заключается в «наложении» последовательности случайных чисел на текст, который необходимо зашифровать.

Когда нажимается Setup.exe, декодируется как вредоносное ПО, так и ожидаемые файлы установщика. Затем вредоносное ПО запускается в фоновом режиме, а установщик программного обеспечения – в обычном. В итоге жертва, не успевая опомнится, устанавливает себе на компьютер вирус.

Источник: cnews.ru