banner
KryptoCibule: il malware intelligente che mina XMR ed ETH
KryptoCibule: il malware intelligente che mina XMR ed ETH
Sicurezza

KryptoCibule: il malware intelligente che mina XMR ed ETH

By Alfredo de Candia - 7 Set 2020

Chevron down

Il team di Eset del famoso antivirus ha da poco pubblicato un rapporto dettagliato in cui viene analizzato un nuovo malware, KryptoCibule, che sfrutta la rete Tor e BitTorrent per infettare le macchine e minare anche le crypto a discapito delle vittime.

Il nome deriva dalla parola ceca crypto e da quella slovena cipolla, proprio ad identificare che serva per fare mining crypto sfruttando la rete Tor.

Il malware viene immesso sulla rete BitTorrent, con un file .zip dal nome “Dead Cells” che richiama ad un famoso gioco multipiattaforma del 2018.

All’interno della cartella compressa troviamo diversi file:

  • Packed.001, che contiene il malware;
  • Packed.002, che è l’installer del gioco;
  • Setup.exe permette di far avviare i precedenti file ed attiva il malware in background.;
  • Setup.dll;
  • Packed.dat.

Il file setup.exe installa anche un gioco, quindi la vittima non si accorge minimamente di nulla, anche perché di solito una volta che parte il gioco l’utente nemmeno riesce a capire che viene sforzata la macchina, imputando il rallentamento del pc al gioco stesso.

Come se non bastasse, il malware installa un torrent client che permette di eseguire comandi via RPC sulla porta 9091 per la trasmissione dei dati da remoto.

KryptoCibule, il malware che installa anche Tor

KryptoCibule utilizza le credenziali superman:krypton, ed in questo modo installa il malware.

Questo client serve proprio a continuare il seed del file così ha una diffusione maggiore e dà la garanzia che non venga buttato giù ed acquisisca una buona reputazione anche come seed, dato che un utente preferirà scaricare un file che ha molti seed.

Oltre al malware viene installato anche Tor, che utilizza la porta 9050. Questo serve per inviare i comandi C&C ed evitare di essere tracciati. 

Questa tecnica permette di continuare l’attacco senza essere scoperti o scoprire da dove partono i comandi, dato che altrimenti si potrebbe risalire ai server e restringere il campo di azione dei criminali.

Interessante inoltre come vengono minate due crypto: Monero (XMR) tramite la CPU ed Ethereum (ETH) che sfrutta invece la GPU.

Inoltre, il malware controlla se la macchina è un pc o meno, avviando il mining senza sosta ed al massimo. Se si tratta di un portatile, invece, il sistema controlla lo stato della batteria ed appena tocca il 30% sospende il mining dalla GPU e limita il mining della CPU ad un solo thread.

Se la percentuale della batteria tocca il 10% allora il malware spegne il mining così da non essere identificato dalla vittima. 

Il team di Eset ha scoperto un indirizzo bitcoin da cui si vede che i criminali sono riusciti a recuperare ben 0,3 BTC, ovvero circa 4000 dollari.

Come se non bastasse, il malware fa un check per controllare le voci legate agli antivirus e se trova Avast, AVG o Eset il malware non installa le componenti legate al mining ma rimane solo con quelle legate alla diffusione del file che continuerà quindi indisturbato.

Alfredo de Candia
Alfredo de Candia

Android developer da oltre 8 anni sul playstore di Google con una decina di app, Alfredo a 21 anni ha scalato il Monte Fuji seguendo il detto "Chi scala il monte Fuji una volta nella vita è un uomo saggio, chi lo scala due volte è un pazzo". Tra le sue app troviamo un dizionario di giapponese, un database di spam e virus, il più completo database sui compleanni di serie Anime e Manga e un database sulle shitcoin. Miner della domenica, Alfredo ha una forte passione per le crypto ed è un fan di EOS.

Utilizziamo i cookie per essere sicuri che tu possa avere la migliore esperienza sul nostro sito. Se continui ad utilizzare questo sito noi assumiamo che tu ne sia felice.