Výskumníci bezpečnostnej spoločnosti ESET objavili doteraz nezdokumentovanú rodinu trójskych koní, ktorá sa zameriava na kradnutie kryptomien. Nazvali ju KryptoCibule. Podľa údajov ESETu sú obeťami prevažne používatelia zo Slovenska a Českej republiky. KryptoCibule sa šíri sa cez škodlivé torrenty, ktoré majú používateľom pomôcť stiahnuť kradnuté verzie rôznych programov a počítačových hier.
Torrent je internetový protokol, ktorý pomáha pri sťahovaní rôznych súborov. Počítač, ktorý súbor sťahuje ho zároveň sprístupňuje na stiahnutie ďalším počítačom, ktoré majú o súbor záujem. Obeť je teda nevedomky infikovaná škodlivým kódom KryptoCibule a zároveň ho cez Torrenty ďalej šíri.
Väčšina obetí KryptoCibule pochádza zo Slovenska a Českej republiky, čo len odzrkadľuje používateľskú základňu webstránky, na ktorej sa nachádzajú infikované torrenty. Takmer všetky škodlivé torrenty sa nachádzali na stránke uloz.to. Ide o populárny český web slúžiaci na zdieľanie súborov. KryptoCibule napríklad na zariadení obete overuje, či sa na nej nachádza jedno z riešení slovenských alebo českých bezpečnostných spoločností ESET, Avast alebo AVG. Ak takýto program nájde, komponent slúžiaci na ťaženie kryptomien do zariadenia nenainštaluje.
Tento škodlivý kód predstavuje v súvislosti s kryptomenami trojitú hrozbu. Zneužíva zdroje obete na ťažbu kryptomien, pokúša sa presmerovať finančné transakcie zmenou adresy kryptopeňaženky v skopírovanom texte a taktiež sa pokúša kradnúť súbory súvisiace s kryptomenami, heslami a bankami. To všetko s využitím viacerých techník, ktoré škodlivému kódu pomáhajú skrývať sa pred odhalením. KryptoCibule vo svojej komunikačnej infraštruktúre využíva sieť Tor a taktiež BitTorrent protokol.
“Škodlivý kód využíva niekoľko legitímnych programov. K niektorým z nich je pribalený inštalátor samotného škodlivého kódu, napríklad k Toru a torrentovému klientovi,“ vysvetľuje Matthieu Faou, výskumník ESETu, ktorý tento škodlivý kód objavil. KryptoCibule sa pred odhalením skrýva napríklad tak, že na infikovanom zariadení neťaží kryptomenu ak je stav batérie pod 10 percent.
ESET identifikoval viacero verzií KryptoCibule, vďaka čomu mohli výskumníci preskúmať jeho evolúciu spätne až do decembra 2018. Od tohto obdobia boli do škodlivého kódu pridávané neustále nové funkcionality a trójsky kôň je stále aktívny.
Používatelia sa škodlivému kódu KryptoCibule a podobným hrozbám vyhnú aj tak, že budú počítačové programy a hry sťahovať z oficiálnych zdrojov.