Un nouveau cheval de Troie appelé Krypto Cibule utilise la puissance des ordinateurs infestés pour extraire la crypto-monnaie, voler des fichiers de portefeuille crypto et rediriger les actifs numériques entrants vers une adresse de pirate informatique. Le malware utilise le réseau Tor et le protocole Bittorrent pour effectuer des attaques, selon un rapport détaillé de la société de cybersécurité ESET.

«Krypto Cibule se propage à travers des torrents malveillants pour des fichiers ZIP dont le contenu se fait passer pour des installateurs de logiciels et jeux piratés ou piratés», chercheurs Matthieu Faou et Alexandre Cote Cyr, détaillé dans leur rapport publié le 2 septembre.

Le malware est principalement actif en République tchèque et en Slovaquie où il est responsable de centaines d’attaques. La plupart des victimes ont téléchargé le logiciel malveillant à partir de fichiers hébergés sur un site torrent populaire dans les deux pays appelé uloz.to.

Les opérations d’extraction du malware, que les chercheurs d’ESET retracent jusqu’en 2018, sont écrites dans XMRig, un programme open source qui exploite monero à l’aide du processeur, et kawpowminer, un autre programme open source qui exploite ethereum (ETH) à l’aide du GPU, les deux programmes étant configurés pour se connecter à un serveur de minage contrôlé par un pirate informatique via le proxy Tor.

Les chercheurs ont attribué le peu d’attention accordée auparavant au cheval de Troie à la discrétion de ses opérations. Pour garder le propriétaire de l’ordinateur sans méfiance, le malware rappelle le mineur GPU lorsque la batterie est inférieure à 30% et arrête complètement les opérations lorsque la batterie est inférieure à 10%.

L’opération de détournement de presse-papiers se fait passer pour SystemArchitectureTranslation.exe. Il surveille les modifications apportées au presse-papiers afin de remplacer les adresses de portefeuille par des adresses contrôlées par l’opérateur de logiciels malveillants afin de détourner les fonds. Les chercheurs ont noté:

Au moment d’écrire ces lignes, les portefeuilles utilisés par le composant de détournement de presse-papiers avaient reçu un peu plus de 1800 dollars en bitcoin (BTC) et éthereum.

L’exfiltration fonctionne en parcourant le système de fichiers de chaque lecteur disponible pour rechercher des noms de fichiers contenant certains termes. Les chercheurs d’ESET ont lié le cheval de Troie à des termes faisant principalement référence aux crypto-monnaies, aux portefeuilles ou aux mineurs, ainsi qu’à des termes plus génériques tels que crypto, graine et mot de passe. Les fichiers susceptibles de fournir des données telles que des clés privées sont également ciblés.

Selon l’équipe de recherche, l’utilisation d’outils open source légitimes ainsi que d’un large éventail de méthodes anti-détection ont probablement gardé le malware sous le radar jusqu’à présent. Krypto Cibule est toujours en cours de développement, de nouvelles fonctionnalités ont été ajoutées au cours de sa vie de deux ans.

Comme news.Bitcoin.com l’a récemment rapporté, des pirates ont déjà pillé des bitcoins grâce à l’utilisation à grande échelle de relais malveillants sur le réseau Tor. Tor est un réseau axé sur la confidentialité populaire auprès des investisseurs Bitcoin du monde entier.

Que pensez-vous du nouveau malware exploitant Tor et Bit Torrent? Faites-nous savoir dans la section commentaires ci-dessous.

Crédits d’image: Shutterstock, Pixabay, Wiki Commons