Torrenty útočí na české kryptopeněženky.
Výzkumníci ESETu objevili dosud nezdokumentovanou rodinu trojských koní. Tato rodina se zaměřuje na odcizování kryptoměn a dostala název KryptoCibule. Jejími oběťmi jsou převážně čeští a slovenští uživatelé. KryptoCibule se šíří přes škodlivé torrenty, které mají uživatelům pomoci stáhnout nelegální verze programů a her. Oběť při stahování malware přes torrenty dále šíří.
Většina obětí KryptoCibule pochází z České republiky (47 %) nebo Slovenska (41 %). Téměř všechny škodlivé torrenty se nacházely na webu Ulož.to. KryptoCibule například na zařízení oběti ověřuje, zda se na něm nachází některé z řešení lokálních bezpečnostních společností (ESET, Avast nebo AVG). Pokud takový program najde, komponenta sloužící k těžbě kryptoměn se do zařízení nenainstaluje.
Příslušný malware představuje v souvislosti s kryptoměnami trojitou hrozbu. Zneužívá zdroje oběti na těžbu kryptoměn ve prospěch útočníka, pokouší se přesměrovat finanční transakce změnou adresy kryptopeněženky během kopírování tohoto textu a také se pokouší krást soubory související s kryptoměnami, hesly a bankami. To vše s využitím různých technik, které škodlivému kódu pomáhají skrývat se před odhalením. KryptoCibule ve své komunikační infrastruktuře využívá síť Tor a také BitTorrent protokol.
„Škodlivý kód zneužívá několik legitimních programů. Jeho instalátor je přibalen například k instalačnímu balíčku Toru a torrentovému klientovi,” vysvětluje Miroslav Dvořák, technický ředitel české pobočky společnosti ESET. KryptoCibule se před odhalením skrývá například i tak, že na infikovaném zařízení netěží kryptoměnu, pokud je stav jeho baterie pod 10 procenty.
KryptoCibule existuje v několika verzích, díky čemuž mohli bezpečnostní výzkumníci prozkoumat pravděpodobnou evoluci trojského koně zpětně až do prosince 2018. Od tohoto období byly do škodlivého kódu přidávány neustále nové funkcionality a trojský kůň je stále aktivní.