Спецпроекты

Пользователей торрентов принудительно заставляют платить за контент криптовалютой

Безопасность Пользователю Интернет Веб-сервисы Маркет
Eset обнаружила троян KryptoCibule, который использует ресурсы жертвы для криптомайнинга, пытается перехватить транзакции, заменяя адреса кошельков в буфере обмена, ищет в системе файлы, связанные с платежными операциями и банковскими счетами. По данным ESET преступникам удалось получить уже около $1800 в Bitcoin и Ethereum только путем подмены данных кошельков жертв.

Совсем не бесплатное скачивание

Пользователи торрент-трекеров могут остаться без личных сбережений при скачивании из интернета пиратского контента.

Компания Eset сообщила CNews, что обнаружила новый троян KryptoCibule (его название составлено из чешских слов «крипто» и «лук»), который представляет тройную угрозу в отношении криптовалют. По данным ESET преступникам удалось получить уже около $1800 в

Bitcoin и Ethereum только путем подмены данных кошельков жертвы.

85% атак KryptoCibule нацелено на жителей Чехии и Словакии. Жертвами вредоносного трояна стали пользователи популярного в Чехии и Словакии сайта-файлообменника uloz.to.

Вирус использует ресурсы жертвы для криптомайнинга, пытается перехватить транзакции, заменяя адреса кошельков в буфере обмена, в итоге происходит утечка файлов, имеющих отношение к криптовалюте. Причем все это происходит одновременно. KryptoCibule широко использует сеть Tor (ПО для реализации луковой маршрутизации) и BitTorrent (сетевой протокол для кооперативного обмена файлами через интернет) в своей коммуникационной инфраструктуре.

На запрос CNews в пресс-службе Eset пояснили, что конфигурационный файл вредоноса настраивает onion-службы (службы сети Tor в даркнете) на зараженном хосте, которые доступны операторам через Tor. Последние версии KryptoCibule используют XMRig — программу с открытым исходным кодом, которая майнит Monero с помощью CPU (central processing unit, центральный блок обработки), а также kawpowminer — еще одну программу с открытым исходным кодом, которая майнит Ethereum с помощью GPU (graphics processing unit, графический процессор).

Новый троян KryptoCibule сочетает в себе возможности, которые дают торренты, Tor и криптовалютные технологии

Вредонос проверяет уровень заряда батареи устройства пользователя и прекращает криптомайнинг, если он падает до 30%. Это позволяет избежать подозрений жертвы и предотвратить обнаружение.

Еще один компонент KryptoCibule использует функцию AddClipboardFormatListener для отслеживания изменений в буфере обмена. Цель вредоноса — найти в буфере обмена данные криптокошелька жертвы и подменить их данными криптокошелька злоумышленника.

Следующий компонент изучает файловую систему зараженного устройства и ищет файлы по заданным критериям: "wallet.dat", "utc--2014", "utc--2015", "utc--2016", "utc--2017", "utc--2018", "utc--2019", "utc--2020", ".address.txt", "electrum", "bitcoin", "litecoin", "ethereum", "cardano", "zcash", "monero", "cripto", "krypto", "binance", "tradeogre", "coinbase", "tether", "daedalus", "stellar", "tezos", "chainlink", "blockchain", "verge", "bittrex", "ontology", "vechain", "doge", "qtum", "augur", "omisego", "digibyte", "seele", "enjin", "steem", "bytecoin", "zilliqa", "zcoin", "miner", "xmrig", "xmr-stak","electroneum", "heslo", "waves", "banka", "crypto", "hesla", "seed", "metamask", "antminer", "trezor", "ledger", "private", "trx", "exodus", "password", "jaxx", "guarda", "atomic.exe", "copay.exe", "Green Address Wallet.exe", "msigna.exe", "ArmoryQT.exe", ".ssh", ".aws", "Desktop".

Большинство из этих слов так или иначе соотносятся к криптовалютой, банками, счетами, паролями т. д. Список также содержит термины, способные привести злоумышленника к важным файлам, в том числе, ключам .ssh, .aws. Все это позволяет злоумышленнику извлечь необходимые данные и использовать в своих интересах.

KryptoCibule устанавливает легитимный сервер Apache, который настроен на работу в режиме прокси без каких-либо ограничений и доступен в качестве onion-службы («луковой службы») на порту 9999. TCP-порт 9999 использует протокол управления передачей данных (TCP), который является одним из основных протоколов в сетях TCP/IP.

Вредоносная программа написана на языке C#. Она также использует некоторый лицензионный софт. Например, Tor и Transmission torrent client поставляются в комплекте с установщиком. Другое ПО загружается во время выполнения, включая Apache HTTP-сервер и сервер Buru SFTP.

Специалисты Eset обнаружили несколько версий этой вредоносной программы, что позволило проследить ее эволюцию до декабря 2018 г.

Как все начинается

При первом запуске вредоносной программы хосту присваивается уникальный идентификатор в формате - {noun}, («прилагательное», «существительное»). Используются случайные слова, взятые из двух жестко закодированных списков, которые обеспечивают более 10 млн уникальных комбинаций. Этот идентификатор затем применяется для идентификации хоста при обмене данными с серверами C&C (command&control, централизованные машины, которые могут отправлять команды и получать обратную связь от компьютеров из бот-сети).

Помимо компонентов, связанных с криптовалютой, вредонос обладает функцией удаленного доступа (remote administrate tool). Среди команд, которые он поддерживает, есть EXEC (executive, выполнение), которая позволяет выполнять произвольные команды, и SHELL (powershell), которая загружает сценарий PowerShell (расширяемое средство автоматизации от Microsoft с открытым исходным кодом) из C&C. Этот скрипт затем загружает бэкдор (вредоносный алгоритм), созданный с помощью инструмента постэксплуатации Pupy. Pupy – кросс-платформенный (Windows, Linux, OSX, Android) инструмент удаленного администрирования и постэксплуатации с открытым исходным кодом, написанный в основном на python.

Распространение KryptoCibule происходит через торрент с инфицированным ZIP-архивом, содержащим пиратский контент. Причем пять файлов являются общими для всех архивов установщика KryptoCibule: packed.001 – вредоносная программа; packed.002 - установщик для ожидаемого программного обеспечения. Оба они зашифрованы XOR с помощью ключей, содержащихся в Setup.exe. Алгоритм XOR шифрования заключается в «наложении» последовательности случайных чисел на текст, который необходимо зашифровать.

Когда нажимается Setup.exe, декодируется как вредоносное ПО, так и ожидаемые файлы установщика. Затем вредоносное ПО запускается в фоновом режиме, а установщик программного обеспечения – в обычном. В итоге жертва, не успевая опомнится, устанавливает себе на компьютер вирус.

Такие ситуации время от времени повторяются

Пресс-служба Eset отмечает, что это не первый случай, когда вредоносная программа попадает на устройство пользователя вместе с пиратским файлом, скачанным с торрент-трекера. Это довольно популярный способ распространения малвари в сети. Более того, вредоносы постоянно совершенствуются, их возможности растут, они все лучше и лучше скрываются от обнаружения. Именно поэтому важно придавать огласке подобные события вне зависимости от того, пользователи какого государства подверглись наибольшей угрозе в конкретный момент времени.

CNews уже писал о всплеске активности трояна Mekotio, нацеленного на кражу криптовалюты.

Эта малварь также похищала у пользователей криптовалюту. Mekotio присущи типичные для бэкдоров функции: создание скриншотов, перезагрузка зараженных устройств, ограничение доступа к легитимным банковским веб-сайтам, кража учетных данных из Google Chrome и биткоинов. Вредонос использует C&C-сервер и базы данных SQL.

Mekotio также способен получить доступ к системным настройкам пользователя, к сведениям об ОС Windows, конфигурации брандмауэра, списку установленных антивирусных решений. При помощи одной из команд Mekotio даже пытается уничтожить все файлы на устройстве жертвы путем удаления всех файлов и папок из дерева C:\Windows.