Gli esperti di sicurezza informatica di ESET hanno pubblicato uno studio approfondito su un nuovo malware chiamato "KryptoCibule". Questo exploit prende specificamente di mira gli utenti di Windows con tre metodi di attacco: l'installazione di un'applicazione di mining crypto, il furto dei file sul wallet e la sostituzione degli indirizzi del wallet in copia/incolla come mezzo per dirottare le singole transazioni.

Secondo la società di sicurezza informatica, gli sviluppatori di KryptoCibule si affidano alla rete Tor e al protocollo BitTorrent per coordinare gli attacchi.

La versione originale del malware è apparsa per la prima volta nel dicembre 2018. All'epoca, si trattava semplicemente di una utility per il mining di Monero che raccoglieva silenziosamente le risorse di sistema degli utenti per generare la valuta. Nel febbraio 2019, KryptoCibule si era evoluto fino ad includere dei modi per estrarre i file dal wallet dalle macchine delle vittime. Da allora, il malware ha aggiunto una terza base di attacco con l'inclusione di kawpowminer: un applicativo che estrae Ethereum (ETH).

Dati telemetrici di ESET hanno rivelato che le vittime hanno scaricato i file torrent infetti che contengono KryptoCibule tramite un sito di condivisione di file denominato Uloz. La maggior parte sembra essere localizzata nella Repubblica Ceca e in Slovacchia.

I ricercatori hanno osservato che, nonostante non sia più molto giovane, il malware "non sembrava aver attirato molta attenzione fino ad ora":

"Presumibilmente gli operatori del malware sono stati in grado di guadagnare più soldi rubando dai wallet e minando crypto di quanto abbiamo trovato nei wallet che hanno subito il dirottamento della clipboard. Le entrate generate da quel medium da solo non sembrano sufficienti a giustificare la quantità di sforzi prodigati nello sviluppo che abbiamo osservato".

Ad agosto, la società di sicurezza informatica Symantec ha notato che gli asset blockchain hanno iniziato a crescere di prezzo dopo il crash di marzo, sostenendo che questo abbia innescato una nuova ondata di attacchi di cryptojacking.