•  ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ ДЛЯ ГОСУДАРСТВЕННОГО СЕКТОРА ЭКОНОМИКИ, ЧАСТНОГО БИЗНЕСА, ГРАЖДАН РОССИЙСКОЙ ФЕДЕРАЦИИ  
Информация от ESET: Троян KryptoCibule атакует любителей пиратского контента

Информация от ESET: Троян KryptoCibule атакует любителей пиратского контента

Эксперты ESET обнаружили новый троян KryptoCibule, который нацелен на кражу и добычу криптовалюты.Вредонос умеет майнить, перехватывать данные из буфера обмена и передавать файлы с зараженного устройства. Например, с его помощью можно подменить данные криптокошелька и отправить средства себе на счет.
Рамка верх.png  logo.jpg  РЕКОМЕНДУЕМЫЕ ПРОДУКТЫ:

ESET NOD32 Business Edition 
Решение ESET NOD32 Business Edition разработано для сетей крупных и средних организаций. Решение обеспечивает обнаружение и блокирование вирусов, троянских программ, червей, шпионских программ, рекламного ПО, фишинг-атак, руткитов и других интернет-угроз, представляющих опасность для компаний. Подробнее>>
ESET NOD32 Smart Security Business Edition
ESET NOD32 Smart Security Business Edition – комплексное бизнес-решение для оперативного детектирования всех типов угроз за счет сочетания интеллектуальных облачных технологий и запатентованного метода эвристического анализа. Подробнее>>
ESET NOD32 Small Business Pack 
ESET NOD32 Small Business Pack – специальное антивирусное решение для небольшой компьютерной сети, обеспечивающее надежную защиту от вредоносных программ и интернет-угроз без лишних затрат. Подробнее>>
Рамка низ.png


Исследователи ESET обнаружили семейство недокументированных вредоносных программ, которые мы назвали KryptoCibule. Это вредоносное ПО представляет тройную угрозу для криптовалют. Он использует ресурсы жертвы для майнинга монет, пытается перехватить транзакции, заменяя адреса кошельков в буфере обмена, и эксфильтрует файлы, связанные с криптовалютой, при этом используя несколько методов, чтобы избежать обнаружения. KryptoCibule широко использует сеть Tor и протокол BitTorrent в своей коммуникационной инфраструктуре.

Вредоносная программа, написанная на C #, также использует легальное программное обеспечение. Некоторые из них, например Tor и торрент-клиент Transmission, поставляются в комплекте с установщиком; другие загружаются во время выполнения, включая Apache httpd и сервер SFTP Buru. Обзор различных компонентов и их взаимодействия показан на рисунке


Исследователи ESET обнаружили семейство недокументированных вредоносных программ, которые мы назвали KryptoCibule. Это вредоносное ПО представляет тройную угрозу для криптовалют. Он использует ресурсы жертвы для майнинга монет, пытается перехватить транзакции, заменяя адреса кошельков в буфере обмена, и эксфильтрует файлы, связанные с криптовалютой, при этом используя несколько методов, чтобы избежать обнаружения. KryptoCibule широко использует сеть Tor и протокол BitTorrent в своей коммуникационной инфраструктуре.Вредоносная программа, написанная на C #, также использует легальное программное обеспечение. Некоторые из них, например Tor и торрент-клиент Transmission, поставляются в комплекте с установщиком; другие загружаются во время выполнения, включая Apache httpd и сервер SFTP Buru. Обзор различных компонентов и их взаимодействия показан на рисунке

Компоненты и инструменты KryptoCibule

Архив с вредоносным вложением KryptoCibule
Архив с вредоносным вложением KryptoCibule

При первом запуске вредоносной программы хосту присваивается уникальный идентификатор в формате {прилагательное} - {существительное}, где {прилагательное} и {существительное} - случайные слова, взятые из двух жестко закодированных списков, которые обеспечивают более 10 миллионов уникальных комбинаций. Этот идентификатор затем используется для идентификации хоста при обмене данными с серверами C&C.
Помимо компонентов, связанных с криптографией, KryptoCibule также имеет функцию RAT. Среди поддерживаемых им команд - EXEC , который позволяет выполнять произвольные команды, и SHELL , который загружает сценарий PowerShell с C&C. Затем этот скрипт загружает бэкдор, созданный с помощью инструмента Pupy после эксплуатации .
Название KryptoCibule происходит от чешских и словацких слов, обозначающих «крипто» и «лук».
KryptoCibule использует протокол BitTorrent для распространения среди новых жертв и загрузки дополнительных инструментов и обновлений.
KryptoCibule распространяется через вредоносные торренты для файлов ZIP, содержимое которых маскируется под программы установки взломанного или пиратского программного обеспечения и игр. Хотя могут быть включены и другие файлы, как показано на рисунке 5, есть пять общих для всех архивов установщика KryptoCibule. pack.001 - это вредоносная программа, а Pack.002 - программа установки ожидаемого программного обеспечения. Оба они зашифрованы XOR с ключами, содержащимися в Setup.exe .
Когда запускается Setup.exe , он декодирует как вредоносную программу, так и ожидаемые файлы установщика. Затем он запускает вредоносное ПО - в фоновом режиме - и ожидаемую программу установки - спереди и по центру, не показывая жертве, что что-то не так.
Жертвы также используются для загрузки как торрентов, используемых вредоносным ПО, так и вредоносных торрентов, которые способствуют его распространению. Зараженные хосты получают список URI-адресов магнитов от % C & C% / magnets , загружают их все и продолжают их рассылать. Это гарантирует, что эти файлы широко доступны для загрузки другими пользователями, что помогает ускорить загрузку и обеспечивает избыточность.
KryptoCibule состоит из трех компонентов, которые используют зараженные хосты для получения криптовалюты.
Последние версии KryptoCibule используют XMRig , программу с открытым исходным кодом, которая добывает Monero с помощью ЦП, и kawpowminer , еще одну программу с открытым исходным кодом, которая добывает Ethereum с помощью графического процессора. Второй используется только в том случае, если на хосте есть выделенный графический процессор. Обе эти программы настроены для подключения к управляемому оператором майнинговому серверу через прокси-сервер Tor.
На каждой итерации основного цикла вредоносная программа проверяет уровень заряда батареи и время с момента последнего ввода данных пользователем. Затем он запускает или останавливает процессы майнера на основе этой информации. Если хост не получал пользовательского ввода в течение последних 3 минут и имеет не менее 30% заряда батареи, майнеры GPU и CPU работают без ограничений. В противном случае майнер GPU приостанавливается, а майнер CPU ограничивается одним потоком. Если уровень заряда батареи ниже 10%, оба майнера останавливаются. Это сделано, чтобы снизить вероятность быть замеченной жертвой.
Вредоносная программа KryptoCibule существует с конца 2018 года и все еще активна, но, похоже, до сих пор не привлекала к себе особого внимания. Вероятно, это связано с использованием законных инструментов с открытым исходным кодом наряду с широким спектром развернутых методов защиты от обнаружения. Этому также может способствовать относительно небольшое количество жертв (сотни) и их пребывание в основном в двух странах. Новые возможности регулярно добавлялись в KryptoCibule на протяжении всего срока его существования, и он продолжает активно развиваться.
Предположительно, операторы вредоносных программ смогли заработать больше денег за счет кражи кошельков и добычи криптовалюты, чем то, что мы нашли в кошельках, используемых компонентом захвата буфера обмена. Доходы, полученные только от этого компонента, кажутся недостаточными для оправдания наблюдаемых усилий по разработке.

Специалисты ESET рекомендуют соблюдать базовые правила цифровой гигиены и отказаться от использования пиратского контента. Ущерб от него может оказаться значительно выше стоимости подписки на легальные стриминговые сервисы или игры.

Материал подготовлен -  ESET NOD32

Рамка верх.png logo.jpg  ССЫЛКА ПО ТЕМЕ: Каталог программного обеспечения ESET NOD32 для бизнеса
Переход в он-лайн магазин Датасиcтем - официального Поставщика Eset Nod32 в Российской Федерации. 
Перейти на сайт Поставщика>>
Рамка низ.png



Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Ваши контактные данные не публикуются на сайте.

Нажимая на кнопку, вы даете согласие на обработку персональных данных и соглашаетесь с политикой конфиденциальности

Популярное

Мы используем куки (cookies) с целью повышения удобства вашей работы с сайтом.

Продолжая работу с сайтом, вы соглашаетесь с нашей политикой конфиденциальности.