ESET objavil škodlivý kód kradnúci kryptomeny od Slovákov a Čechov a nazval ho KryptoCibule

Redakcia FinReport 13.9.2020 Poslať

Výskumníci bezpečnostnej spoločnosti ESET objavili doteraz nezdokumentovanú rodinu trójskych koní, ktorá sa zameriava na kradnutie kryptomien. Nazvali ju KryptoCibule. Podľa údajov ESETu sú obeťami prevažne používatelia zo Slovenska a Českej republiky. KryptoCibule sa šíri cez škodlivé torrenty, ktoré majú používateľom pomôcť stiahnuť kradnuté verzie rôznych programov a počítačových hier.

Foto: Shutterstock

Obeť sa infikuje a problém nevedomky šíri ďalej

Torrent je internetový protokol, ktorý pomáha pri sťahovaní rôznych súborov. Počítač, ktorý súbor sťahuje, ho zároveň sprístupňuje na stiahnutie ďalším počítačom, ktoré majú o súbor záujem. Obeť je teda nevedomky infikovaná škodlivým kódom KryptoCibule, a zároveň ho cez torrenty šíri ďalej.

„Väčšina obetí KryptoCibule pochádza zo Slovenska a Českej republiky, čo len odzrkadľuje používateľskú základňu webovej stránky, na ktorej sa nachádzajú infikované torrenty,“ píše PR manažérka ESETu Zuzana Pardubská s tým, že takmer všetky škodlivé torrenty sa nachádzali na stránke uloz.to. Ide o populárny český web slúžiaci na „zdieľanie“ súborov.

KryptoCibule napríklad na zariadení obete overuje, či sa na nej nachádza jedno z riešení slovenských alebo českých bezpečnostných spoločností ESET, Avast alebo AVG. Ak takýto program nájde, komponent slúžiaci na ťaženie kryptomien do zariadenia nenainštaluje.

Partner článku

Trojitá hrozba škodlivého kódu

Tento škodlivý kód predstavuje v súvislosti s kryptomenami trojitú hrozbu. Zneužíva zdroje obete na ťažbu kryptomien, pokúša sa presmerovať finančné transakcie zmenou adresy kryptopeňaženky v skopírovanom texte a taktiež sa pokúša kradnúť súbory súvisiace s kryptomenami, heslami a bankami. To všetko s využitím viacerých techník, ktoré škodlivému kódu pomáhajú skrývať sa pred odhalením. KryptoCibule vo svojej komunikačnej infraštruktúre využíva sieť Tor a taktiež BitTorrent protokol.

„Škodlivý kód využíva niekoľko legitímnych programov. K niektorým z nich je pribalený inštalátor samotného škodlivého kódu, napríklad k Toru a torrentovému klientovi,“ vysvetľuje výskumník ESETu Matthieu Faou, ktorý tento škodlivý kód objavil. KryptoCibule sa pred odhalením skrýva napríklad tak, že na infikovanom zariadení neťaží kryptomenu, ak je stav batérie pod 10 percent.

ESET identifikoval viacero verzií KryptoCibule, vďaka čomu mohli výskumníci preskúmať jeho evolúciu spätne až do decembra 2018. Od tohto obdobia boli do škodlivého kódu pridávané neustále nové funkcionality a trójsky kôň je stále aktívny.

Používatelia sa škodlivému kódu KryptoCibule a podobným hrozbám vyhnú aj tak, že budú počítačové programy a hry sťahovať z oficiálnych zdrojov.