Novo malware KryptoCibule para Windows é uma ameaça tripla para usuários de criptomoedas
O malware está ativo desde o final de 2018 e tem como alvo principalmente usuários na República Tcheca e na Eslováquia (por enquanto).
A empresa de segurança cibernética ESET publicou um relatório hoje detalhando uma nova variedade de malware do Windows que a empresa chamou de KryptoCibule.
A ESET diz que o malware foi distribuído pelo menos desde dezembro de 2018, mas só agora apareceu em seu radar.
De acordo com a empresa, KryptoCibule é voltado para usuários de criptomoedas, com os três principais recursos do malware sendo (1) instalar um minerador de criptomoedas nos sistemas das vítimas, (2) roubar arquivos relacionados à carteira de criptomoedas e (3) substituir endereços de carteira em a área de transferência do sistema operacional para sequestrar pagamentos de criptomoedas.
Esses recursos são o resultado de um extenso trabalho de desenvolvimento por parte dos criadores do malware, que lentamente adicionaram novos itens ao código do KryptoCibule desde sua primeira versão no final de 2018.
De acordo com a ESET, o malware evoluiu lentamente para uma ameaça complicada de vários componentes, muito acima do que vimos na maioria das outras cepas de malware.
Atualmente, o malware se espalha por meio de arquivos torrent para software pirateado. A ESET afirma que os usuários que baixarem esses torrents instalarão o software pirata que desejam, mas também executarão o instalador do malware.
Este instalador configura um mecanismo de persistência de reinicialização que depende de tarefas agendadas e, em seguida, instala o núcleo do malware KryptoCibule (o iniciador), o módulo sequestrador de área de transferência do sistema operacional e clientes Tor e torrent.
A ESET afirma que o KryptoCibule usa o cliente Tor para se comunicar com segurança com seus servidores de comando e controle (C&C), hospedados na dark web, enquanto o cliente torrent é usado para carregar arquivos torrent que eventualmente baixarão outros módulos adicionais, como servidores proxy , módulos de criptografia de mineração e servidores HTTP e SFT, todos úteis para uma ou mais tarefas no modus operandi do malware.
Resumindo, o KryptoCibule é uma má notícia para os usuários de criptomoedas, uma vez que é claramente uma variedade projetada por pessoas com conhecimento das operações de malware modernas.
No entanto, também há boas notícias, pelo menos por enquanto. A ESET afirma que, apesar de ser uma ameaça bastante complexa, a distribuição do KryptoCibule parece ter se limitado a apenas dois países, ou seja, a República Tcheca e a Eslováquia.
Os pesquisadores da ESET dizem que quase todos os torrents maliciosos que distribuem software pirata com KryptoCibule estavam disponíveis apenas no uloz.to, um popular site de compartilhamento de arquivos nos dois países.
Esta distribuição limitada parece ter sido algo planejado desde o início, já que KryptoCibule também contém um recurso que verifica a presença de software antivírus no computador da vítima e este módulo verifica apenas a presença de ESET, Avast e AVG – todos os três sendo empresas de antivírus sediadas na República Tcheca e na Eslováquia e, provavelmente, nos computadores da maioria dos usuários-alvo.
No entanto, o fato de que essa cepa de malware atualmente é distribuída apenas em uma pequena área do globo não é razão para acreditar que isso permanecerá no futuro.
Os usuários devem permanecer vigilantes e a maneira mais simples de evitar uma ameaça como o KryptoCibule é não instalar software pirata. Vários relatórios na última década alertaram os usuários que a maioria dos arquivos torrent para software pirateado geralmente contém malware e não vale a pena correr o risco.
