KryptoCibule
O KryptoCibule é o nome de uma nova família de ameaças de malware que foi descoberta pelos pesquisadores de segurança. O malware é escrito em C# e projetado com várias funções relacionadas à criptomoeda.
O KryptoCibule é distribuído por meio de torrents corrompidos que carregam arquivos zip com malware, fingindo ser instaladores de jogos e software crackeados ou pirateados. Os torrents que espalham o KryptoCibule estavam todos disponíveis em um rastreador de torrent chamado uloz.to, um site popular de compartilhamento de arquivos na Eslováquia e na República Tcheca. Como resultado, a maioria das vítimas do malware estavam localizadas nos dois países. O nome dado ao malware vem da palavra para criptografia em tcheco e cebola em eslovaco.
Quando o KryptoCibule é executado, ele é executado em segundo plano enquanto o instalador do software ou jogo específico é mostrado ao usuário desavisado. Durante sua atividade prejudicial, o malware emprega vários programas legítimos. O Tor e o cliente de torrent Transmission vêm com o instalador do malware em si, enquanto outros, como o Apache httpd e o servidor Buru SFTP, são baixados quando o KryptoCibule é executado pela primeira vez no dispositivo da vítima.
O KryptoCibule é uma Ameaça Multifacetada
Uma vez dentro do dispositivo visado, KryptoCibule toma vários caminhos para gerar dinheiro para seus criadores. Primeiro, ele instala dois criptominadores de código aberto - XMRig que extrai a criptomoeda Monero usando recursos da CPU da vítima e kawpowminer para Ehtereum que explora a GPU. KryptoCibule faz verificações regulares para a última atividade no dispositivo infectado e a carga restante da bateria e ajusta os recursos alocados para os mineiros de acordo, em uma tentativa de não atrair muita atenção para suas atividades de cripto-mineração.
Além disso, o KryptoCibule pode rastrear a área de transferência e substituir os endereços de carteira de criptomoeda copiados por outros controlados pelos hackers, explorando a função AddClipboardFormatListener para monitorar as alterações na área de transferência. A última ameaça representada pelo malware é a exfiltração de dados. KryptoCibule examina o sistema infectado em busca de palavras e termos específicos. A maioria deles está relacionada à criptomoeda, mas alguns podem conter dados confidenciais, como 'Desktop' e 'private' ou chaves privadas armazenadas em '.ssh' e '.aws' potencialmente. O malware também está equipado com recursos RAT (Trojan de acesso remoto), pois pode executar comandos exec e shell.
O KryptoCibule Emprega Técnicas Anti-Análise
Para contornar as medidas de segurança, o KryptoCibule se esconde por trás de nomes legítimos de executáveis do Adobe Acrobat Reader. Por exemplo, é codificado para ser instalado no %ProgramFiles(x86)%\Adobe\Acrobat Reader DC\Reader\update. Um nome relacionado ao Adobe Acrobat Reader também é empregado pelo malware para obter persistência por meio do comando:
schtasks.exe /CREATE /SC MINUTE /MO 5 /TN "Adobe Update Task" /TR \""%ProgramFiles(x86)%\Adobe\Acrobat Reader DC\Reader\Update\armsvc.exe\"" [/RL HIGHEST] /F [/RU SYSTEM]
O KryptoCibule executa uma digitalização do sistema infectado em busca de uma lista de softwares de análise e interrompe a sua execução após uma detecção bem-sucedida. Uma digitalizcação de vários programas anti-malware também é realizada antes do início das operações de cripto-mineração.
