Zoals jullie wellicht allemaal al weten zijn hackers dol op cryptocurrencies. We hebben op onze website al verschillende manieren uitgeschreven die betrekking hebben op de manieren waarop hackers cryptocurrencies willen minen via jouw hardware. Er is nu echter een nieuwe, geavanceerde vorm, van cryptocurrency-malware gevonden, die wordt gedeeld via het downloaden van illegale software en games via torrent-sites.
Malware voor cryptocurrency-mining
In een rapport van woensdag zeiden onderzoekers van het Slowaakse cyberbeveiligingsbedrijf ESET dat ze schadelijke code hadden gevonden in het installatieprogramma voor mediabestanden die een cryptocurrency mining-bot bevatten.
Eenmaal gedownload, start de verborgen app zijn mining-bot om computerkracht te kapen en de bekende privacy-munt Monero (XMR) te minen, evenals Ethereum (ETH) als er een GPU-kaart wordt gedetecteerd.
Met de naam “KryptoCibule” – een combinatie van de Tsjechische en Slowaakse woorden voor “cryptocurrency” en “ui” – kan de malware ook een portefeuilleadres veranderen in een adres dat is gekoppeld aan de hacker wanneer de gebruiker zijn adres kopieert en plakt, waardoor geld dat naar het slachtoffer wordt gestuurd omgeleid kan worden.
Verder zal het op zoek gaan naar cryptocurrency-wachtwoorden, privésleutels of sleutelzinnen die op de harde schijf van de hostcomputer zijn opgeslagen en deze stelen.
KryptoCibule is waarschijnlijk eind 2018 gestart, maar is tot nu toe verborgen gebleven dankzij het ontwerp om detectie te omzeilen.
KryptoCibules verbergt zich in bestanden die normaal werken, zodat slachtoffers minder snel vermoeden dat er iets mis is. Het kijkt ook actief naar en verbergt zich voor antivirusprogramma’s zoals Avast.
KryptoCibule bewaakt ook de batterij van de computer, zodat deze niet te veel stroom verbruikt en dus opgemerkt wordt. Als de batterij onder de 30% zakt, schakelt KryptoCibule de GPU-mijnwerker uit en voert zijn Monero-miner op een veel lagere capaciteit uit. Het hele programma wordt afgesloten als de batterij onder de 10% komt.
Bovendien bevat het een opdrachtregel naar de Tor-browser die de communicatie versleutelt en het onmogelijk maakt om de mining-server achter KryptoCibule te traceren.
Kijk uit met downloaden vanaf torrent-sites
De malware wordt verspreid door gebruikers die de getroffen mediabestanden delen op peer-to-peer bestandsuitwisselingsnetwerken.
Tevens is het ook in staat zichzelf te updaten via BitTorrent, dat medio 2018 door Tron werd overgenomen, aldus de onderzoekers.
ESET zei dat KryptoCibule ongeveer $1.800 aan Bitcoin en Ether had gestolen door de portemonnee-adressen van slachtoffers te wijzigen.
Ze waren niet in staat om te bepalen hoeveel de hacker via de mining-bot heeft gestolen of hoeveel wachtwoorden er gestolen zijn.
Ondanks zijn verfijning zei ESET dat de bot tot dusverre alleen was gedownload door honderden computers, voornamelijk gevestigd in Tsjechië en Slowakije.
