Este malware evade los antivirus para robar criptomonedas
Investigadores de seguridad descubrieron una nueva familia de malware que está completamente enfocada en obtener la mayor cantidad posible de criptomonedas de sus víctimas. Para ello, roba billeteras, secuestra transacciones y comienza a minar en las máquinas infectadas.
Llamado KryptoCibule, el malware ha logrado permanecer bajo el radar durante casi dos años, ampliando su funcionalidad con cada nueva versión.
En un análisis técnico publicado hoy, los investigadores de ESET señalan que KryptoCibule depende en gran medida de la red Tor. Usa Tor para comunicarse con sus servidores de comando y control (C2).
Método de propagación
Se propaga a través de torrents maliciosos en archivos que simulan ser instaladores de versiones “crackeadas” de software y juegos populares. Al iniciar el ejecutable, la instalación de malware comienza en segundo plano y la rutina esperada para el producto crackeado se ejecuta en primer plano.
Este funcionamiento, junto con el hecho de que parece apuntar a usuarios en República Checa y Eslovaquia permitió que el malware permaneciera oculto durante tanto tiempo. Más del 85% de las detecciones de ESET provienen de República Checa y Eslovaquia.
Es probable que atacar estas regiones sea intencional. Los investigadores descubrieron que los mecanismos de detección y antianálisis en KryptoCibule verifican específicamente los productos de ESET, Avast y AVG (subsidiaria de Avast). Estas empresas tienen su sede en estos dos países.
Si se detecta alguna de las cadenas en la imagen de arriba, el malware realiza una prueba de lluvia. La prueba la realiza en la instalación de los componentes del criptominero.
Este detalle contribuyó a nombrar el malware KryptoCibule, que es una combinación de las palabras checo y eslovaco para “cripto” y “onion “.
Sin embargo, las tácticas de evasión no se detienen en esto. La ejecución del payload ocurre solo si faltan procesos para un software de análisis específico en la computadora. Los investigadores proporcionan la siguiente lista:
•cain, •filemon, •netmon, •netstat, •nmwifi, •perfmon, •processhacker, •procexp, •procexp64, •procmon, •regmon, •tasklist, •taskmgr, •tcpvcon, •tcpview, •wiresharkMinería sigilosa de criptomonedas
Por lo general, el malware relacionado con las criptomonedas persigue las billeteras o secuestra las transacciones, pero KryptoCibule es una triple amenaza. Esto porque también implementa mineros que usan recursos de CPU y GPU para Monero y Ethereum.
La minería de criptomonedas es una operación intensiva en recursos que probablemente llamará la atención. En este caso, sin embargo, el proceso se ejecuta sin restricciones solo si no hubo ninguna acción del usuario durante los últimos tres minutos y el nivel de batería de la computadora es superior al 30%.
Si no se cumplen estas condiciones, el minero de Ethereum se suspende y el de Monero usa solo un hilo. Toda la minería se detiene cuando el nivel de la batería está por debajo del 10%.
No está claro cuánto dinero ganaron los operadores de KryptoCibule con estos procesos. Empero, los investigadores encontraron que algunas billeteras utilizadas por el componente de secuestro de transacciones recibieron unos miserables $1,800 en Bitcoin y Ethereum. Es probable que esta cantidad no refleje las ganancias del autor del malware, ya que es demasiado pequeña “para justificar el esfuerzo de desarrollo observado”.
Un tercer componente relacionado con la criptomoneda busca en el sistema de archivos entradas con nombres específicos de billeteras, mineros y monedas digitales. Asimismo, busca términos como “password” y “bank,” u otro tipo de archivos sensibles (.SSH, .AWS).
Además de su enfoque en la criptomoneda, la amenaza presenta otras herramientas que brindan a sus operadores acceso remoto al host comprometido. Los atacantes pueden generar una puerta trasera utilizando la herramienta de post-explotación de Pupy.
Otras herramientas
Para agregar otras herramientas en una computadora infectada, el malware instala el cliente Transmission BitTorrent. Este recibe comandos remotos a través de la interfaz RPC en el puerto predeterminado. El acceso a la interfaz está restringido y las credenciales (superman:krypton) están codificadas.
“Para instalar más software para el uso del malware, como el servidor SFTP, el componente Launcher realiza una solicitud HTTP GET a ‘%C&C%/softwareinfo?title=’. Luego recibe una respuesta JSON. La respuesta contiene un URI magnético para que se descargue el torrent y otra información que indique cómo instalar y ejecutar el programa”
ESET
Toda esta funcionalidad es el resultado de casi dos años de desarrollo, ya que los investigadores pudieron rastrear el malware hasta diciembre de 2018. En la imagen a continuación, muestran cómo KryptoCibule evolucionó hasta lo que es hoy.
