Phần mềm độc hại mới sử dụng Tor và Bittorrent để ăn cắp Bitcoin và Ether

Cập nhật thông tin mới nhất về Phần mềm độc hại mới sử dụng Tor và Bittorrent để ăn cắp Bitcoin và Ether

news.bitcoin.com

Ngày 05 tháng 9 năm 2020 21:50, giờ UTC

Thời gian đọc: ~ 3 m


Một loại trojan mới có tên Krypto Cibule sử dụng sức mạnh của máy tính bị nhiễm virus để khai thác tiền điện tử, đánh cắp tệp ví tiền điện tử và chuyển hướng các tài sản kỹ thuật số đến địa chỉ của hacker. Phần mềm độc hại di chuyển trên mạng Tor và giao thức Bittorrent để thực hiện các cuộc tấn công, theo một báo cáo mở rộng của công ty an ninh mạng, ESET.

Các nhà nghiên cứu Matthieu Faou và Alexandre Cote Cyr cho biết: “Krypto Cibule được phát tán qua torrent độc hại cho các tệp ZIP có nội dung giả mạo là trình cài đặt cho phần mềm và trò chơi bị bẻ khóa hoặc vi phạm bản quyền”, các nhà nghiên cứu Matthieu Faou và Alexandre Cote Cyr nêu chi tiết trong báo cáo của họ được công bố vào ngày 2 tháng 9.

Phần mềm độc hại này chủ yếu hoạt động ở Cộng hòa Séc và Slovakia, nơi nó đã chịu trách nhiệm cho hàng trăm cuộc tấn công. Hầu hết nạn nhân đã tải xuống phần mềm độc hại từ các tệp được lưu trữ trên một trang web torrent phổ biến ở hai quốc gia có tên uloz.to.

Các hoạt động khai thác của phần mềm độc hại, mà các nhà nghiên cứu ESET theo dõi từ năm 2018, được viết vào XMRig, một chương trình mã nguồn mở khai thác monero bằng CPU và kawpowminer, một chương trình mã nguồn mở khác khai thác ethereum (ETH) bằng GPU, với cả hai chương trình được thiết lập để kết nối với máy chủ khai thác do tin tặc kiểm soát qua proxy Tor.

Các nhà nghiên cứu đã cho rằng trojan ít được chú ý trước đây là do các hoạt động của nó tùy ý. Để giữ cho chủ sở hữu máy tính không nghi ngờ, phần mềm độc hại sẽ gọi lại công cụ khai thác GPU khi pin còn dưới 30% và dừng hoạt động hoàn toàn khi pin dưới 10%.

Hoạt động chiếm quyền điều khiển clipboard giả mạo là SystemArchitectureTranslation.exe. Nó giám sát các thay đổi đối với khay nhớ tạm để thay thế các địa chỉ ví bằng các địa chỉ được kiểm soát bởi nhà khai thác phần mềm độc hại nhằm chuyển tiền nhầm. Các nhà nghiên cứu lưu ý:

Vào thời điểm viết bài này, các ví được sử dụng bởi thành phần chiếm đoạt clipboard đã nhận được hơn 1.800 đô la bitcoin (BTC) và ethereum.

Quá trình lọc hoạt động bằng cách đi qua hệ thống tệp của mỗi ổ đĩa có sẵn để tìm kiếm các tên tệp chứa một số thuật ngữ nhất định. Các nhà nghiên cứu của ESET đã liên kết trojan với các thuật ngữ chủ yếu đề cập đến tiền điện tử, ví hoặc công cụ khai thác, cũng như các thuật ngữ chung chung hơn như tiền điện tử, hạt giống và mật khẩu. Các tệp có thể cung cấp dữ liệu như khóa cá nhân cũng được nhắm mục tiêu.

Theo nhóm nghiên cứu, việc sử dụng các công cụ nguồn mở hợp pháp cũng như một loạt các phương pháp chống phát hiện có khả năng đã khiến phần mềm độc hại nằm trong tầm ngắm cho đến nay. Krypto Cibule vẫn đang được tích cực phát triển, với các tính năng mới đã được bổ sung trong vòng hai năm tuổi của nó.

Như news.Bitcoin.com đã đưa tin gần đây, tin tặc đã cướp bitcoin thông qua việc sử dụng quy mô lớn các rơle độc ​​hại trên mạng Tor. Tor là một mạng định hướng bảo mật phổ biến với các nhà đầu tư bitcoin trên khắp thế giới.


Viết một bình luận