Il team di Eset del famoso antivirus ha da poco pubblicato un rapporto dettagliato in cui viene analizzato un nuovo malware, KryptoCibule, che sfrutta la rete Tor e BitTorrent per infettare le macchine e minare anche le crypto a discapito delle vittime.
Il nome deriva dalla parola ceca crypto e da quella slovena cipolla, proprio ad identificare che serva per fare mining crypto sfruttando la rete Tor.
Il malware viene immesso sulla rete BitTorrent, con un file .zip dal nome “Dead Cells” che richiama ad un famoso gioco multipiattaforma del 2018.
All’interno della cartella compressa troviamo diversi file:
- Packed.001, che contiene il malware;
- Packed.002, che è l’installer del gioco;
- Setup.exe permette di far avviare i precedenti file ed attiva il malware in background.;
- Setup.dll;
- Packed.dat.
Il file setup.exe installa anche un gioco, quindi la vittima non si accorge minimamente di nulla, anche perché di solito una volta che parte il gioco l’utente nemmeno riesce a capire che viene sforzata la macchina, imputando il rallentamento del pc al gioco stesso.
Come se non bastasse, il malware installa un torrent client che permette di eseguire comandi via RPC sulla porta 9091 per la trasmissione dei dati da remoto.
KryptoCibule, il malware che installa anche Tor
KryptoCibule utilizza le credenziali superman:krypton, ed in questo modo installa il malware.
Questo client serve proprio a continuare il seed del file così ha una diffusione maggiore e dà la garanzia che non venga buttato giù ed acquisisca una buona reputazione anche come seed, dato che un utente preferirà scaricare un file che ha molti seed.
Oltre al malware viene installato anche Tor, che utilizza la porta 9050. Questo serve per inviare i comandi C&C ed evitare di essere tracciati.
Questa tecnica permette di continuare l’attacco senza essere scoperti o scoprire da dove partono i comandi, dato che altrimenti si potrebbe risalire ai server e restringere il campo di azione dei criminali.
Interessante inoltre come vengono minate due crypto: Monero (XMR) tramite la CPU ed Ethereum (ETH) che sfrutta invece la GPU.
Inoltre, il malware controlla se la macchina è un pc o meno, avviando il mining senza sosta ed al massimo. Se si tratta di un portatile, invece, il sistema controlla lo stato della batteria ed appena tocca il 30% sospende il mining dalla GPU e limita il mining della CPU ad un solo thread.
Se la percentuale della batteria tocca il 10% allora il malware spegne il mining così da non essere identificato dalla vittima.
Il team di Eset ha scoperto un indirizzo bitcoin da cui si vede che i criminali sono riusciti a recuperare ben 0,3 BTC, ovvero circa 4000 dollari.
Come se non bastasse, il malware fa un check per controllare le voci legate agli antivirus e se trova Avast, AVG o Eset il malware non installa le componenti legate al mining ma rimane solo con quelle legate alla diffusione del file che continuerà quindi indisturbato.
