Menu

Ricerca: Il nuovo malware impiega Tor e Bittorrent per rubare bitcoin ed etere

Leave a comment

Un nuovo trojan chiamato Krypto Cibule usa il potere dei computer infestati per estrarre la valuta criptata, rubare i file del portafoglio criptato e reindirizzare le risorse digitali in entrata a un indirizzo hacker.

Il malware cavalca sulla rete Tor e sul protocollo Bittorrent

Il malware cavalca sulla rete Tor e sul protocollo Bittorrent per eseguire attacchi, secondo un ampio rapporto della società di sicurezza informatica ESET.

„Krypto Cibule si diffonde attraverso torrenti maligni per file ZIP il cui contenuto si maschera da installatore di software e giochi crackizzati o piratati“, i ricercatori Matthieu Faou e Alexandre Cote Cyr, dettagliati nel loro rapporto pubblicato il 2 settembre.

Il malware è attivo soprattutto nella Repubblica Ceca e in Slovacchia, dove è stato responsabile di centinaia di attacchi. La maggior parte delle vittime ha scaricato il malware da file ospitati su un sito torrent popolare nei due Paesi chiamato uloz.to.

Le operazioni minerarie del malware, che i ricercatori ESET fanno risalire al 2018, sono scritte in XMRig, un programma open-source che estrae monero usando la CPU, e kawpowminer, un altro programma open-source che estrae Bitcoin Profit usando la GPU, con entrambi i programmi impostati per connettersi a un server minerario controllato da hacker tramite il proxy Tor.

I ricercatori hanno attribuito la poca attenzione precedentemente data al trojan alla discrezione delle sue operazioni. Per mantenere ignaro il proprietario del computer, il malware richiama il GPU miner quando la batteria è inferiore al 30% e interrompe del tutto le operazioni quando la batteria è inferiore al 10%.

L’operazione di clipboard-hijacking si maschera da

SystemArchitectureTranslation.exe. Monitora le modifiche agli appunti per sostituire gli indirizzi dei portafogli con indirizzi di quelli controllati dall’operatore del malware al fine di deviare i fondi. I ricercatori hanno notato:

Al momento di questa scrittura, i portafogli utilizzati dal componente di dirottamento degli appunti avevano ricevuto poco più di 1.800 dollari in bitcoin (BTC) ed etereo.

L’esfiltrazione funziona camminando attraverso il filesystem di ogni unità disponibile per cercare i nomi dei file che contengono determinati termini. I ricercatori ESET hanno collegato il trojan a termini che si riferiscono per lo più a valute crittografiche, portafogli o minatori, oltre a termini più generici come crittografia, seme e password. Sono stati presi di mira anche i file che potrebbero fornire dati come le chiavi private.

Secondo il team di ricerca, è probabile che l’uso di strumenti open-source legittimi e di una vasta gamma di metodi anti-rilevazione abbia tenuto il malware sotto controllo fino a questo punto. Krypto Cibule è ancora in fase di sviluppo attivo, con l’aggiunta di nuove funzionalità nel corso dei suoi due anni di vita.

Come riportato di recente su news.Bitcoin.com, gli hacker hanno già saccheggiato bitcoin attraverso l’uso su larga scala di relay maligni sulla rete Tor. Tor è una rete orientata alla privacy popolare tra gli investitori di bitcoin in tutto il mondo.