Il malware KryptoCibule utilizza i siti Tor & Torrent per rubare le tue criptovalute
Buongiorno cari lettori, oggi parleremo di malware che ti ruba cripto attraverso tor e torrent.
Il malware estrae anche la criptovaluta Monero & Ethereum su dispositivi mirati.
Stiamo assistendo a nuove varianti di malware che vengono distribuite ogni giorno. Proprio ieri abbiamo coperto uno skimmer che incanalava i fondi tramite Telegram e oggi siamo tornati con un nuovo rapporto di WeLiveSecurity.
Facciamo luce su una nuova famiglia di malware chiamata KryptoCibule; i ricercatori riferiscono su 3 compiti principali che cerca di svolgere:
Estrarre le crittocurrenti Monero e Ethereum utilizzando rispettivamente una CPU e una GPU
Rubare fondi sostituendo gli indirizzi dei portafogli legittimi con quelli controllati dagli aggressori con l'aiuto degli appunti
Rubare ed estrarre file relativi alla crittografia
Oltre a ciò, viene utilizzato anche uno strumento di amministrazione remota (RAT) per mantenere l'accesso alla macchina della vittima al fine di controllarla. Inoltre, sia la rete TOR che il protocollo BitTorrent vengono utilizzati per la trasmissione di dati e la comunicazione in generale. Questo è l'ennesimo esempio di come i servizi legittimi possono essere utilizzati dagli aggressori per i propri nefasti motivi.
Finora, tuttavia, nell'aggressore sono stati trovati solo 1800 dollari nei portafogli in possesso dell'aggressore, il che lo fa sembrare non così redditizio, almeno per il momento. Ci potrebbe essere comunque di più, considerando che WeLiveSecurity non ha una visione completa di tutti gli importi rubati.
Il modo in cui gli aggressori diffondono il malware è attraverso torrenti su uloz[.]a cui si trova un sito di file-sharing in Cecenia e Slovacchia. Questo è forse uno dei motivi per cui la maggior parte delle infezioni è stata riscontrata in entrambi questi Paesi rispettivamente al 40,58 per cento per il primo e al 46,95 per cento per il secondo.
Per approfondire la questione, i ricercatori hanno scritto in un post del blog che:
Le vittime vengono utilizzate anche per seminare sia i torrenti utilizzati dal malware sia i torrenti maligni che contribuiscono a diffonderlo. Gli host infetti ricevono un elenco di URI magnetici da %C&C%/magnetti, li scaricano tutti e continuano a seminarli. Questo assicura che questi file siano ampiamente disponibili per il download da parte di altri, il che aiuta a velocizzare i download e fornisce ridondanza.
Per concludere, sorprendentemente, non è la prima volta che questo malware viene individuato, anche se ora sembra essere sotto i riflettori. Secondo i ricercatori, la primissima versione è stata trovata nel dicembre del 2018, che ha estratto solo Monero - un ottimo esempio di come il malware si evolve nel tempo, come mostrato nella foto qui sotto:
Per il futuro, possiamo aspettarci che continui a svilupparsi e che attacchi attivamente anche gli utenti di altri Paesi. Si consiglia pertanto ai lettori di assicurarsi di non scaricare file da fonti non attendibili e di scansionare ogni file scaricato per proteggersi da ogni tipo di malware.
spero che questo articolo vi sia piaciuto, noi ci vediamo ad un prossimo articolo.
