Torrentről fertőzi a gépeket a bányászó vírus

​A KryptoCibule trójai kriptopénzt bányászik, manipulálja a pénzügyi tranzakciókat, adatokat lop, és még egy hátsó kaput is kiépít a fertőzött számítógépeken.
 

A KryptoCibule nevű trójai program az elmúlt napokban kapott nagyobb nyilvánosságot, pedig korántsem egy teljesen új szerzeményről van szó. Biztonsági kutatók ugyanis igazolták, hogy a károkozó első variánsa már két éve elkészülhetett, és azóta rendszeresen újabb és újabb funkciókkal gyarapodott. Az, hogy ilyen sokáig nem sikerült detektálni, leginkább amiatt van, hogy nagyon ügyel arra, hogy a víruskutatók által használt környezetekben meglapuljon. Emellett több esetben teljesen legális összetevőket telepít, amiket aztán rossz célokra használ fel.
 
A trójai elsősorban Torrenten keresztül letöltött fájlok révén terjed, és ártalmatlannak látszó szoftverek mögé rejtőzik el. Amikor ezeket a programokat a felhasználó letölti, majd telepíti, akkor az eredeti alkalmazás is felkerül a PC-re. Csakhogy a háttérben a KryptoCibule is feltelepül, és rögtön nekilát a nemkívánatos ténykedésének. Legalábbis akkor, ha nem érzékeli az Avast, az AVG és az ESET biztonsági szoftverek jelenlétét, illetve nem talál olyan folyamatot, amelyek neve tartalmazza a következő kifejezéseket:

• cain
• filemon
• netmon
• netstat
• nmwifi
• perfmon
• processhacker
• procexp
• procexp64
• procmon
• regmon
• tasklist
• taskmgr
• tcpvcon
• tcpview
• wireshark

 
Amennyiben a KryptoCibule számára megfelelő PC-re akad, akkor azon alapvetően négyféle módon képes problémákat előidézni. Egyrészt a fertőzött rendszer erőforrásainak felhasználásával elkezd kriptopénzt bányászni. Másrészt kriptopénzekhez kapcsolódó tranzakciókat manipulál. Harmadrészt adatokat, fájlokat szivárogtat ki, beleértve a kripto pénztárcákhoz kötődő állományokat és jelszavakat is tartalmazó fájlokat. Nem utolsó sorban pedig egy hátsó kaput létesít, amelyen keresztül a támadók jogosulatlanul férhetnek hozzá a rendszerhez.
 
A KryptoCibule jelenleg Ethereum és Monero bányászatot folytat, aminek során lefoglalja a fertőzött számítógép processzor és GPU erőforrásait. A bányászathoz használt összetevői akkor aktivizálódnak, amikor a felhasználó három percig nem tevékenykedik a PC-jén. Ha a károkozó azt észleli, hogy az akkumulátor töltöttsége 30 százalék alá csökken, akkor leállítja az Ethereum bányászatot, majd 10 százalékos töltöttségi szint alatt a Monero bányászatot is felfüggeszti.