Спецпроекты

Пользователей торрентов принудительно заставляют платить за контент криптовалютой

Безопасность Пользователю Интернет Веб-сервисы Маркет
Eset обнаружила троян KryptoCibule, который использует ресурсы жертвы для криптомайнинга, пытается перехватить транзакции, заменяя адреса кошельков в буфере обмена, ищет в системе файлы, связанные с платежными операциями и банковскими счетами. По данным ESET преступникам удалось получить уже около $1800 в Bitcoin и Ethereum только путем подмены данных кошельков жертв.

Совсем не бесплатное скачивание

Пользователи торрент-трекеров могут остаться без личных сбережений при скачивании из интернета пиратского контента.

Компания Eset сообщила CNews, что обнаружила новый троян KryptoCibule (его название составлено из чешских слов «крипто» и «лук»), который представляет тройную угрозу в отношении криптовалют. По данным ESET преступникам удалось получить уже около $1800 в

Bitcoin и Ethereum только путем подмены данных кошельков жертвы.

85% атак KryptoCibule нацелено на жителей Чехии и Словакии. Жертвами вредоносного трояна стали пользователи популярного в Чехии и Словакии сайта-файлообменника uloz.to.

Вирус использует ресурсы жертвы для криптомайнинга, пытается перехватить транзакции, заменяя адреса кошельков в буфере обмена, в итоге происходит утечка файлов, имеющих отношение к криптовалюте. Причем все это происходит одновременно. KryptoCibule широко использует сеть Tor (ПО для реализации луковой маршрутизации) и BitTorrent (сетевой протокол для кооперативного обмена файлами через интернет) в своей коммуникационной инфраструктуре.

На запрос CNews в пресс-службе Eset пояснили, что конфигурационный файл вредоноса настраивает onion-службы (службы сети Tor в даркнете) на зараженном хосте, которые доступны операторам через Tor. Последние версии KryptoCibule используют XMRig — программу с открытым исходным кодом, которая майнит Monero с помощью CPU (central processing unit, центральный блок обработки), а также kawpowminer — еще одну программу с открытым исходным кодом, которая майнит Ethereum с помощью GPU (graphics processing unit, графический процессор).

Новый троян KryptoCibule сочетает в себе возможности, которые дают торренты, Tor и криптовалютные технологии

Вредонос проверяет уровень заряда батареи устройства пользователя и прекращает криптомайнинг, если он падает до 30%. Это позволяет избежать подозрений жертвы и предотвратить обнаружение.

Еще один компонент KryptoCibule использует функцию AddClipboardFormatListener для отслеживания изменений в буфере обмена. Цель вредоноса — найти в буфере обмена данные криптокошелька жертвы и подменить их данными криптокошелька злоумышленника.

Следующий компонент изучает файловую систему зараженного устройства и ищет файлы по заданным критериям: "wallet.dat", "utc--2014", "utc--2015", "utc--2016", "utc--2017", "utc--2018", "utc--2019", "utc--2020", ".address.txt", "electrum", "bitcoin", "litecoin", "ethereum", "cardano", "zcash", "monero", "cripto", "krypto", "binance", "tradeogre", "coinbase", "tether", "daedalus", "stellar", "tezos", "chainlink", "blockchain", "verge", "bittrex", "ontology", "vechain", "doge", "qtum", "augur", "omisego", "digibyte", "seele", "enjin", "steem", "bytecoin", "zilliqa", "zcoin", "miner", "xmrig", "xmr-stak","electroneum", "heslo", "waves", "banka", "crypto", "hesla", "seed", "metamask", "antminer", "trezor", "ledger", "private", "trx", "exodus", "password", "jaxx", "guarda", "atomic.exe", "copay.exe", "Green Address Wallet.exe", "msigna.exe", "ArmoryQT.exe", ".ssh", ".aws", "Desktop".

Большинство из этих слов так или иначе соотносятся к криптовалютой, банками, счетами, паролями т. д. Список также содержит термины, способные привести злоумышленника к важным файлам, в том числе, ключам .ssh, .aws. Все это позволяет злоумышленнику извлечь необходимые данные и использовать в своих интересах.

KryptoCibule устанавливает легитимный сервер Apache, который настроен на работу в режиме прокси без каких-либо ограничений и доступен в качестве onion-службы («луковой службы») на порту 9999. TCP-порт 9999 использует протокол управления передачей данных (TCP), который является одним из основных протоколов в сетях TCP/IP.

Вредоносная программа написана на языке C#. Она также использует некоторый лицензионный софт. Например, Tor и Transmission torrent client поставляются в комплекте с установщиком. Другое ПО загружается во время выполнения, включая Apache HTTP-сервер и сервер Buru SFTP.

Как перевести четверть клиентов на самообслуживание? Опыт банка «Открытие»
ИТ в банках

Специалисты Eset обнаружили несколько версий этой вредоносной программы, что позволило проследить ее эволюцию до декабря 2018 г.

Как все начинается

При первом запуске вредоносной программы хосту присваивается уникальный идентификатор в формате - {noun}, («прилагательное», «существительное»). Используются случайные слова, взятые из двух жестко закодированных списков, которые обеспечивают более 10 млн уникальных комбинаций. Этот идентификатор затем применяется для идентификации хоста при обмене данными с серверами C&C (command&control, централизованные машины, которые могут отправлять команды и получать обратную связь от компьютеров из бот-сети).

Помимо компонентов, связанных с криптовалютой, вредонос обладает функцией удаленного доступа (remote administrate tool). Среди команд, которые он поддерживает, есть EXEC (executive, выполнение), которая позволяет выполнять произвольные команды, и SHELL (powershell), которая загружает сценарий PowerShell (расширяемое средство автоматизации от Microsoft с открытым исходным кодом) из C&C. Этот скрипт затем загружает бэкдор (вредоносный алгоритм), созданный с помощью инструмента постэксплуатации Pupy. Pupy – кросс-платформенный (Windows, Linux, OSX, Android) инструмент удаленного администрирования и постэксплуатации с открытым исходным кодом, написанный в основном на python.

Распространение KryptoCibule происходит через торрент с инфицированным ZIP-архивом, содержащим пиратский контент. Причем пять файлов являются общими для всех архивов установщика KryptoCibule: packed.001 – вредоносная программа; packed.002 - установщик для ожидаемого программного обеспечения. Оба они зашифрованы XOR с помощью ключей, содержащихся в Setup.exe. Алгоритм XOR шифрования заключается в «наложении» последовательности случайных чисел на текст, который необходимо зашифровать.

Когда нажимается Setup.exe, декодируется как вредоносное ПО, так и ожидаемые файлы установщика. Затем вредоносное ПО запускается в фоновом режиме, а установщик программного обеспечения – в обычном. В итоге жертва, не успевая опомнится, устанавливает себе на компьютер вирус.

Такие ситуации время от времени повторяются

Пресс-служба Eset отмечает, что это не первый случай, когда вредоносная программа попадает на устройство пользователя вместе с пиратским файлом, скачанным с торрент-трекера. Это довольно популярный способ распространения малвари в сети. Более того, вредоносы постоянно совершенствуются, их возможности растут, они все лучше и лучше скрываются от обнаружения. Именно поэтому важно придавать огласке подобные события вне зависимости от того, пользователи какого государства подверглись наибольшей угрозе в конкретный момент времени.

CNews уже писал о всплеске активности трояна Mekotio, нацеленного на кражу криптовалюты.

Эта малварь также похищала у пользователей криптовалюту. Mekotio присущи типичные для бэкдоров функции: создание скриншотов, перезагрузка зараженных устройств, ограничение доступа к легитимным банковским веб-сайтам, кража учетных данных из Google Chrome и биткоинов. Вредонос использует C&C-сервер и базы данных SQL.

Mekotio также способен получить доступ к системным настройкам пользователя, к сведениям об ОС Windows, конфигурации брандмауэра, списку установленных антивирусных решений. При помощи одной из команд Mekotio даже пытается уничтожить все файлы на устройстве жертвы путем удаления всех файлов и папок из дерева C:\Windows.