KryptoCibule: Pozor, pokud používáte Ulož.to a Torrent! Virus vám může ukrást krypto
Výzkumníci společnosti ESET analyzují dříve nezdokumentovaný trojan. Dostal název KryptoCibule a způsobuje širokou škálu ohrožení, včetně těžby Monera a krádeže kryptoměny.
KryptoCibule
O nové bezpečnostní hrozbě, která zasahuje převážně české a slovenské oběti, informoval antivirus ESET. Virus se šíří stahováním škodlivých souborů. KryptoCibule využívá hned několik triků, kterými chce ze svých obětí vymačkat co nejvíc, aniž by to oběť odhalila.
Vědci z ESETu uvedli, že ve své komunikační infrastruktuře ve velké míře využívá síť Tor a protokol BitTorrent. Odkazy na infikované soubory se pak téměř ve všech případech nacházejí na serveru Ulož.to.
Zpráva uvádí: „Malware, napsaný v C #, také využívá nějaký legitimní software. Některé, například Tor a torrentový klient Transmission, jsou součástí instalačního programu; další jsou stahovány za běhu, včetně Apache httpd a serveru Buru SFTP. […] Při prvním spuštění malwaru je hostiteli přidělen jedinečný identifikátor. […] Kromě komponent souvisejících s kryptoměnou má KryptoCibule také funkci RAT. Mezi příkazy, které podporuje, patří EXEC , který umožňuje provádění libovolných příkazů, a SHELL , který stáhne skript PowerShell z C&C. Tento skript poté načte zadní vrátka vygenerovaná post-exploitačním nástrojem Pupy .”
Jak vypadá soubor s virem
Téměř 90 % případů detekce tohoto viru bylo v České republice a na Slovensku. Proto KryptoCibule dostala český název, který je odvozen od komunikačního protokolu Tor – The Onion Router. „KryptoCibule se šíří škodlivými torrenty pro soubory ZIP, jejichž obsah se vydává za instalátory cracknutého nebo pirátského softwaru a her,” uvádí výzkumníci.
„Ačkoli mohou být zahrnuty další soubory, jak je vidět na obrázku, existuje pět, které jsou společné pro všechny archivy instalačních programů KryptoCibule. Packed.001 je malware, zatímco Packed.002 je instalátor očekávaného softwaru,” komentuje zpráva následující obrázek s obsahem instalačního ZIP souboru:
Co způsobuje a jak se bránit
K ochraně patří vyhýbání se stahování neznámých souborů a používání antiviru. Kryptocibule jeho přítomnost dokáže detekovat a při instalaci staženého souboru obsahujícího škodlivý software se v takovém případě údajně nenainstaluje. Samozřejmě vám také doporučujeme dodržovat základní bezpečnostní pravidla a bezpečné peněženky, například hardwarové.
Rozsah ohrožení je široký. Patří sem tři hlavní metody:
- nechtěná těžba kryptoměn (v podstatě krádež energie a přetížení PC),
- pokusy přesměrovat transakce změnou adresy kryptopeněženky,
- krádež souborů souvisejících s kryptoměnami, hesly a bankami.
Závěr
Zpráva výzkumníků ESET uvádí, že v České republice a na Slovensku řádí nebezpečný počítačový virus, který používá řadu technik k poškození obětí. Šíří se v souborech stažených z BitTorrentu, často pomocí odkazů, vedoucích z Ulož.to. Malware KryptoCibule také využívá různé techniky, aby se vyhnul detekci. Zpětně se ukázalo, že v různých verzích existuje již od roku 2018. ESET dále dodává, že vytvoří naplánovaný úkol, který se má spouštět každých pět minut a maskuje se za název související s legitimním programem Adobe Reader, přičemž pokud smyčka zaznamená přítomnost antiviru, nespustí se (a zkusí to opět za pět minut).
O viru v uloz.to už jsem párkrát slyšel. Zatím bezpečná verianta pro mě je sledovat hodnocení, případně komentáře a nestahovat soubor bez toho.