Anzeige
SECURITY3. September 2020

Krypto-Trojaner KryptoCibule zielt auf europäische Internetnutzer und Kryptowährungen

jk21/bigstock.com

ESET-Forscher haben eine bisher unbekannte Malware-Familie analysiert, die sich über bösartige Torrent-Dateien verbreitet und es auf europäische Internetnutzer abgesehen hat. Bei erfolgreicher Infektion versucht der Krypto-Trojaner, heimlich Kryptowährungen zu schürfen, Wallets und Transaktionen zu manipulieren sowie damit zusammenhängende Daten zu stehlen. Die ESET-Experten haben dem Schadprogramm den Namen KryptoCibule gegeben.

Die Forscher von ESET haben mehrere Versionen von KryptoCibule identifiziert. So können sie die Entwicklung des Schadprogramms bis zum Dezember 2018 zurückverfolgen. Seitdem wurde die Malware ständig weiterentwickelt und erhielt regelmäßig neue Funktionen. Sie versucht mit verschiedenen Techniken, unter dem Radar zu bleiben. KryptoCibule nutzt das Tor-Netzwerk und das BitTorrent-Protokoll in hohem Maß für seine Kommunikationsinfrastruktur. Ihre Analyse-Ergebnisse präsentieren die ESET-Forscher nun in einer ausführlichen Analyse auf der Webseite von WeLiveSecurity.

Der in C# geschriebene Krypto-Trojaner verwendet auch legitime Software. Einiges davon, wie Tor- und der Transmission-Torrent-Client, wird mit dem Installationsprogramm gebündelt. Anderes wird zur Laufzeit heruntergeladen, wie beispielsweise der Apache httpd und der Buru SFTP-Server. Eine Übersicht über die verschiedenen Komponenten und Tools vom Krypto-Trojaner sowie ihre komplexen Wechselwirkungen zeigt die schematische Darstellung von ESET.

Komponenten und Tools vom Krypto-Trojaner KryptoCibule
ESET

 

KryptoCibule verwendet auch legitime Software. Einige, wie Tor und der Transmission Torrent-Client, sind mit dem Installationsprogramm verbunden, andere werden später heruntergeladen. KryptoCibule besteht aus drei Komponenten, um an Kryptowährungen zu gelangen: Kryptomining, Manipulation der Zwischenablage und Daten-Diebstahl. Nur durch den Einsatz aller drei Funktionen konnte laut unseren Analyse-Ergebnissen genug Gewinn erzielt werden, um den beobachteten Entwicklungsaufwand zu rechtfertigen.“

Matthieu Faou, ESET-Forscher

Der Krypto-Trojaner hat es insbesondere auf europäische Internetnutzer abgesehen. Die Kriminellen hinter KryptoCibule haben die infizierten Torrent-Dateien auf einer File-Sharing-Plattform hochgeladen, die bei Nutzern aus Tschechien und der Slowakei sehr beliebt ist. Es wird vermutet, dass Anwender aus den beiden Ländern im besonderen Fokus stehen, weil die Malware gezielt die betroffenen Systeme auf Sicherheitslösungen überprüft, die in diesen beiden Ländern häufig zum Einsatz kommen.pp

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert