Продвинутая форма вредоносного ПО, нацеленного на криптовалюту, распространялась через пиратское ПО и игры, загружаемые с торрент-сайтов.
В своем докладе, опубликованном в среду, исследователи словацкой фирмы по кибербезопасности ESET заявили, что обнаружили вредоносный код в программе установки медиафайлов, содержащей бота для майнинга криптовалют.
После загрузки скрытое приложение запускает своего бота, который захватывает мощность компьютера для добычи monero, а также эфира, если обнаружена карта графического процессора.
Однако за два года своего существования вредоносная программа эволюционировала и стала очень опасной для пользователей криптовалюты.
Получив название "KryptoCibule" (сочетание слов "криптовалюта" и "лук" на чешском и словацком языках), вредоносная программа может изменить адрес кошелька при вставке из буфера обмена, тем самым присваевая отправляемые средства. Кроме того, программа способна искать и красть пароли, закрытые ключи или ключевые фразы, хранящиеся на жестком диске хост-машины.
Вредоносное ПО распространяется пользователями, которые обмениваются зараженными медиафайлами в одноранговых сетях обмена файлами. По словам исследователей, программа обновляется с помощью BitTorrent, который был приобретен компанией Tron в середине 2018 года.
Компания ESET сообщила, что программа KryptoCibule украла около 1800 долларов в биткойнах и эфире, изменив адреса кошельков жертв. Специалисты не смогли определить, сколько хакеры получили денежных средств через майнингового бота или от кражи паролей.
Вредоносное ПО вероятно, начало работу в конце 2018 года, но до сих пор оставалось скрытым благодаря тому, что было разработано так, чтобы избежать обнаружения.
KryptoCibule скрывается в файлах, которые работают нормально, поэтому жертвы с меньшей вероятностью заподозрят что-то неладное. Вредоносная программа также активно следит за антивирусными инструментами, такими как Avast, и скрывается от них. Кроме того, она содержит командную строку для браузера Tor, которая шифрует обмен данными и делает невозможным отслеживание сервера майнинга.
Программа KryptoCibule также контролирует аккумулятор компьютера, чтобы он не потреблял слишком много энергии. Таким образом, она менее заметна.
Если заряд аккумулятора падает ниже 30%, KryptoCibule отключает майнер GPU и запускает майнер Monero с гораздо меньшей мощностью. Причем, вредоносная программа отключается, если батарея разряжается ниже 10%.
Компания ESET сообщила, что бот был загружен только на несколько сотен компьютеров, в основном из Чехии и Словакии.