El laboratorio de ESET, la mayor empresa de ciberseguridad de la Unión Europea, ha descubierto una familia de troyanos de la que no se tenía constancia hasta ahora, que se distribuye a partir de archivos torrent maliciosos y que tiene como objetivo robar criptomonedas de sus víctimas. ESET ha denominado a esta familia de malware KryptoCibule y, de acuerdo con la telemetría de la compañía, tiene sus objetivos principales en la República Checa y en Eslovaquia.
KryptoCibule supone una triple amenaza para los usuarios de criptomonedas: utiliza los recursos de la víctima para minar monedas, intenta secuestrar transacciones reemplazando las direcciones de las carteras en el portapapeles y sustrae archivos relacionados con criptomonedas, todo ello mediante el uso de múltiples técnicas que buscan evitar su detección. KryptoCibule hace un uso extensivo de la red Tor y del protocolo BitTorrent en sus infraestructuras de comunicación.
“El malware, tal y como está escrito, emplea algo de software legítimo. Algunos programas como Tor o el cliente torrent Transmission están integrados en el instalador. Otros, como el httpd de Apache y el servidor SFTP Buru, se descargan en el momento de su ejecución”, alerta Matthieu Faou, investigador de ESET que ha descubierto este malware.
ESET ha identificado diferentes versiones de KryptoCibule, lo que ha permitido al laboratorio de la compañía trazar su evolución desde diciembre de 2018. El troyano, que sigue activo en estos momentos, incorpora nuevas capacidades de manera regular y se encuentra en constante desarrollo.