Nuestro Broker
Puntos Importantes:
- Un troyano está robando criptomonedas.
- Este malware es capaz de usar tu CPU y tu GPU.
- Está en constante actualización y es difícil de detectar.
Un nuevo troyano llamado Krypto Cibule utiliza el poder de las computadoras infestadas para extraer criptomonedas, robar archivos de billetera criptográfica y redirigir los activos digitales entrantes a una dirección de pirata informático.
El malware viaja en la red Tor y el protocolo Bittorrent para realizar ataques, según un extenso informe de la empresa de ciberseguridad ESET.
Krypto Cibule
“Krypto Cibule se propaga a través de torrents maliciosos para archivos ZIP cuyo contenido se hace pasar por instaladores de software y juegos pirateados”, detallan los investigadores Matthieu Faou y Alexandre Cote Cyr en su informe publicado el 2 de septiembre.
El malware está activo principalmente en la República Checa y Eslovaquia, donde ha sido responsable de cientos de ataques. La mayoría de las víctimas descargaron el malware de archivos alojados en un sitio de torrents popular en los dos países llamado uloz.to.
Cómo funciona
Las operaciones de minería del malware, que los investigadores de ESET que rastrearon hasta 2018, están escritas en XMRig, un programa de código abierto que extrae monero usando la CPU, y kawpowminer, otro programa de código abierto que extrae ethereum (ETH) usando la GPU. Ambos programas son configurados para conectarse a un servidor de minería controlado por piratas informáticos a través del proxy Tor.
Los investigadores han atribuido la poca atención que antes se le prestaba al troyano a la discreción de sus operaciones. Para mantener al propietario de la computadora desprevenido, el malware activa al minero de la GPU cuando la batería está por debajo del 30% y detiene las operaciones por completo cuando la batería está por debajo del 10%.
El nombre del proceso
La operación de secuestro del portapapeles se hace pasar por SystemArchitectureTranslation.exe. Supervisa los cambios en el portapapeles para reemplazar las direcciones de la billetera con direcciones controladas por el operador de malware para desviar fondos. Los investigadores anotaron.
En el momento de escribir este artículo, las carteras utilizadas por el componente de secuestro del portapapeles habían recibido un poco más de $1,800 en Bitcoin (BTC) y Ethereum.
La exfiltración funciona recorriendo el sistema de archivos de cada unidad disponible para buscar nombres de archivo que contengan ciertos términos. Los investigadores de ESET vincularon el troyano a términos que se refieren principalmente a criptomonedas, billeteras o mineros, así como a otros más genéricos como criptografía, semilla y contraseña.
Los archivos que podrían proporcionar datos, como claves privadas, también están dirigidos.
El malware se sigue actualizando
Según el equipo de investigación, es probable que el uso de herramientas legítimas de código abierto, así como una amplia gama de métodos antidetección, hayan mantenido al malware fuera del radar hasta ahora.
Krypto Cibule todavía se está desarrollando activamente, y se han agregado nuevas características en sus dos años de vida.
Los piratas informáticos ya han saqueado Bitcoin mediante el uso a gran escala de relés maliciosos en la red Tor, este es una red orientada a la privacidad popular entre los inversores de Bitcoins en todo el mundo.
