Titre: ESET Research découvre Krypto Cibule: voleur multitâche de multi crypto-monnaies (04/09/2020 Par cda)
Des chercheurs d'ESET ont découvert une famille, encore non documentée , de malwares - chevaux de Troie - qui se propage à travers des torrents malveillants et qui utilise diverses astuces pour soutirer autant de crypto-monnaies que possible de ses victimes tout en faisant profil bas. ESET a appelé cette menace KryptoCibule qui, selon la télémétrie d'ESET, semble cibler principalement les utilisateurs de la République Tchèque et de la Slovaquie.
Ce malware présente une triple menace pour les crypto-monnaies. Il utilise les ressources de la victime pour extraire les devises, tente de détourner des transactions en remplaçant les adresses de portefeuille dans le presse-papiers et exfiltre les fichiers liés à la crypto-monnaie, tout en déployant diverses techniques pour éviter la détection. Dans son infrastructure de communication, KryptoCibule utilise aussi de manière extensive le réseau Tor et le protocole BitTorrent .
«Tel qu'il est écrit, ce maliciel utilise des logiciels légitimes. Certains, tels que Tor et le client Transmission torrent, sont fournis avec le programme d'installation. D'autres , et plus particulièrement Apache httpd et le serveur Buru SFTP, sont téléchargés au moment de l'exécution», explique Matthieu Faou, le chercheur d’ESET qui a découvert cette nouvelle famille de maliciels.
ESET a identifié plusieurs versions de KryptoCibule, qui permettent de retracer son évolution depuis décembre 2018 et il reste actif. Au cours de sa vie, de nouvelles fonctionnalités ont régulièrement été ajoutées au malware et il est en constante évolution.
La plupart des victimes se trouvaient en République Tchèque et en Slovaquie, ce qui est démontré par la base d'utilisateurs du site sur lequel se trouvent les torrents infectés, qui étaient presque tous disponibles sur uloz.to, un site de partage de fichiers très populaire dans les deux pays. De plus, KryptoCibule cible spécifiquement les produits de sécurité pour terminaux d’ESET, d’Avast et d’AVG. ESET a son siège en Slovaquie, tandis que les deux autres appartiennent à Avast, dont le siège se trouve en République Tchèque.
«KryptoCibule a trois composants, le cryptomining, le piratage de presse-papiers et l'exfiltration de fichiers, qui utilisent les hôtes infectés afin d'en soutirer les crypto-monnaies», explique Faou. «Il semble que les opérateurs de logiciels malveillants ont gagné plus d'argent en volant des portefeuilles et en exploitant des crypto-monnaies que ce que nous avons trouvé dans les portefeuilles utilisés par le composant de piratage du presse-papiers. Les revenus générés par ce composant , à eux seuls, semblent insuffisants pour justifier l'effort de développement observé », ajoute-t-il.

Pour en savoir plus sur les offres ESET, visitez le site https://www.eset.com/be-fr/
Retour