Bezpečnostní výskumníci spoločnosti ESET odhalili doteraz neznámy druh trójskeho koňa, ktorý ohrozuje Slovákov a Čechov pri sťahovaní torrentov zo známeho úložiska Ulož.to. Útočníci, ktorí tohto trojana vyvinuli, sa zameriavajú predovšetkým na používateľov s kryptomenami a zneužívajú aj výkon ich počítačov pre ťaženie virtuálnych mien. Na problém upozornil portál Cybersec.sk.

Používatelia sťahujúci torrent súbory prostredníctvom Ulož.to by sa mali mať na pozore. Nový druh trójskeho koňa vyvinutý v programovacom jazyku C#, ktorý sa poprvýkrát objavil ešte v roku 2018, no čoraz viac napáda zariadenia ľudí z Česka a Slovenska, ktorí s obľubou sťahujú torrenty práve cez spomínané internetové úložisko.

Na Slovensku a v Česku operuje nový trójsky kôň

Trojan pritom nenapáda len zariadenia obetí, zneužíva tiež výpočtový výkon na ťažbu kryptomien. Taktiež dokáže presmerovať kryptomenové transakcie a nahrádzať adresy kryptopeňaženiek, pričom využíva pokročilé techniky, aby sa vyhol odhaleniu. Doteraz sa bezpečnostným expertom z ESETu podarilo odhaliť niekoľko verzií tohto trójskeho koňa a určili, že najstaršia z nich vznikla ešte pred 2 rokmi.

Za ten čas sa však škodlivý softvér zlepšil. Doteraz sa primárne sústredí práve na používateľov úložiska Ulož.to, pričom až 46,95 % všetkých prípadov bolo zaznamenaných v Česku a 40,58 % útokov týmto trojanom sa vyskytlo na Slovensku. Infikovaných počítačov v iných krajinách bolo len 12,47 %. Po stiahnutí škodlivého torrentu sa trojan sústredí na identifikáciu antivírusových systémov v zariadení.

KryptoCibule dokáže detekovať aj antivírus. Odhaleniu sa vyhýba sofistikovanými technikami

Dokáže odhaliť, či je v počítači nainštalovaný antivírus ESETu, Avastu alebo od AVG a v prípade odhalenia neťaží kryptomeny. Zaujímavosťou je, že všetky tieto antivírusové programy pochádzajú práve z Česka a Slovenska.

Útočníci sa tak pri vytváraní KryptoCibule museli zamerať práve na našu krajinu a susedné Česko. Trojan zneužíva protokol torrentového programu BitTorrent a používateľom ponúka inštaláciu dodatočných rozšírení a updatov.

Zobraziť celú galériu (2)

We Live Security/ESET

Navyše, trojský kôň sa šíri aj seedovaním stiahnutých torrentov, vďaka čomu sú dostupné pre ďalších používateľov, ktorí si takéto škodlivé torrenty sťahujú ďalej.

Najnovšia verzia KryptoCibule pritom využíva program na ťaženie kryptomeny Monero prostredníctvom výpočtového výkonu procesora a taktiež program pre ťažbu Etherea cez výkon grafickej karty. Ťaženie druhej spomínanej kryptomeny je však spustené len v prípade, ak trojan detekuje v zariadení dedikovanú grafickú kartu.

Monitoruje využitie zariadení a snaží sa o nenápadne ťaženie kryptomien

Jednou z techník, ktorou sa trojan vyhýba odhaleniu, je aj monitorovanie stavu batérie a používateľského vstupu. V praxi to znamená, že pokiaľ KryptoCibule nezaznamená žiaden vstup zo strany používateľa po dobu viac ako 3 minút a batéria má kapacitu aspoň 30 %, ťaženie kryptomien beží na pozadí bez limitu.

Zobraziť celú galériu (2)

Flickr

Pokiaľ trojan zaznamená používanie zariadenia, obmedzí ťaženie kryptomien. Vypne sa ťažba Etherea cez GPU a ťaženie Monera cez CPU sa obmedzí. Ak ale batérii ostáva len 10 % kapacity, ťaženie sa vypne, čím sa minimalizuje riziko odhalenia príčiny rýchleho vybíjania akumulátora, ktoré by viedlo k odhaleniu trojana.

Počet infikovaných zariadení nie je veľký. V budúcnosti však môže narastať

Hoci teda KryptoCibule vznikla už pred 2 rokmi, doteraz nepútala veľkú pozornosť. Aktuálne je však počet infikovaných zariadení len minimálny, rádovo v stovkách, no dá sa predpokladať, že s novými vylepšeniami sa trojan bude šíriť ďalej a môže sa vyskytovať aj v ďalších krajinách.