Descubren una nueva familia de troyanos que roba criptomonedas

Recomendados:  La persistencia del ransomware Webinar España Digital 2025 Leer

KryptoCibule supone una triple amenaza para los usuarios de criptomonedas. Los expertos  de Eset explican que utiliza los recursos de la víctima para minar monedas, intenta secuestrar transacciones reemplazando las direcciones de las carteras en el portapapeles y sustrae archivos relacionados con criptomonedas, todo ello mediante el uso de múltiples técnicas que buscan evitar su detección.

ESET ha identificado diferentes versiones de KryptoCibule, lo que ha permitido al laboratorio de la compañía trazar su evolución desde diciembre de 2018. El troyano, que sigue activo en estos momentos, incorpora nuevas capacidades de manera regular y se encuentra en constante desarrollo.

La mayoría de las víctimas de KryptoCibule se encuentran en la República Checa y en Eslovaquia, lo que se refleja en la base de usuarios que acceden al sitio donde se encuentran los archivos torrent infectados. La mayoría de los archivos maliciosos se encontraban en uloz.to, una de las webs  más populares de ambos países, usada para compartir todo tipo de ficheros. Además, intenta evitar ser detectado específicamente por ESET, Avast y AVG, que son compañías que tienen sus sedes en estos países: ESET, en Eslovaquia, y Avast (que es propietaria también de AVG), en la República Checa.

Matthieu Faou, investigador de la compañía que ha descubierto este malware, señala que “tal y como está escrito, emplea algo de software legítimo. Algunos programas como Tor o el cliente torrent Transmission están integrados en el instalador. Otros, como el httpd de Apache y el servidor SFTP Buru, se descargan en el momento de su ejecución”.