Descripción
Una empresa de ciberseguridad publicó un informe sobre un nuevo troyano denominado “KryptoCibule”, el cual tiene como objetivo robar criptomonedas y está particularmente dirigido a usuarios en los países de Republica Checa y Eslovaquia.
Este troyano es propagado por medio de archivos “Torrent” maliciosos, engañando al usuario para descargar un supuesto software, sin embargo, cuando el programa es instalado, KryptoCibule se ejecuta en segundo plano.
Primeramente, KryptoCibule comienza a configurar un mecanismo de persistencia de reinicio basado en tareas programadas para instalarse y empezar a descargar otros módulos de criptominería y servidores HTTP y SFT, que lo ayudarán en su tarea. Después, KryptoCibule realiza una comunicación con el atacante por el protolo “BitTorrent” y a través de la red “Tor” ya que sus servidores de comando y control (C&C) se encuentran alojados en la “Dark Web”.
KryptoCibule es distinguido por ser capaz de utilizar los recursos de la víctima para extraer criptomonedas, secuestrar transacciones que vienen en dirección hacia las billeteras digitales, y por filtrar archivos relacionados con las criptomonedas, al mismo tiempo que implementa técnicas para evitar ser detectado en el equipo.
Nivel de riesgo
- [Alto]
Sistemas/tecnologías afectadas:
- Sistema Operativo Microsoft Windows.
Indicadores de compromiso (IoCs)
A continuación, se listan los Indicadores de compromiso (IoCs) identificados hasta el momento relacionados con el programa malicioso reportado en esta alerta:
- SHA-1:
- 49D3FE31B87B14BEF61A6029A644DA
3DDC81AE85 - 83F9C10D41A32D74FCF0549739487C
EA90233EE2 - 181C9FEE9834EAEE428EDFD4048F38
3BDD6FED2A - D9AA64D954A531074AF5C167B7066E
DF989B49D8 - DA402887CBD05CBE123EB6AF437EFC
AC2BA70555 - 3BCEF852639F85803974943FC34EFF
2D6D7D916D - 5505341E3185E3EADCBE3164ECA616
A0F86D8B5D - 7563610DA47ECE49216E6D4F75EA3E
2FCEC4CE3E - 05D461259BDDB6AD70CEB96A6A8174
6423EB5DB4 - 352743EBE6A0638CC0614216AD000B
6A43C4D46E - 8EDEE68B15E2F3C8484F18D34976C3
506EACA30D - 929E362EB857203155ACD9526E6FA6
0339DAA42F - 88920FE8AACFE9102B00026524353D
28D2CCF5E1 - 341F8F2566B601E6825DC9E00FA3BE
E490AE4728 - A2D69583CFB8849C4852865FE43CEE
A55BD7E065 - 29B0DF9E0F1AFA5DF39B9F3E6C2EDA
40AA8B1E5F - 70480D5F4CB10DE42DD2C863DDF571
02BE6FA9E0 - 8CC0C300739E6887358169E6B9939F
B83362E17E
- 49D3FE31B87B14BEF61A6029A644DA
- Sitios en la Dark Web:
- 36ptmdeoog6cb7qga5mvg67xxsvjcz
tppvexzv7v3nh3v5ysrqpdoqqd[.] onion - 372dwco4guzmbsxuzojpxu5szfonkx
e5itnbscrq2j42rab2t2ncahyd[.] onion - 4awm6qxdepo4eezambtqy37glf3yfs
qmffahdrftap52vnft7w6qjrqd[.] onion - 4d5sfoijltk6ymy56zxn5kibkev2bq
rtvofpgej5q5td3y23sa7ot6id[.] onion - 4lb3ggyyldqrovgjn5muidit7lly26
qysmhsvdvm7uxxor43r3trzeqd[.] onion - 6m4ujiinnntagmvcr5xlrhprwo4ogy
nx5ermkb5g2tmogqmvl4jqg2qd[.] onion - 6u7fbyoeztemm2x3eqqqmxdjnwcwr7
74omb357v575rdw6fbs6dsocid[.] onion - 7qggtksfcrk67dhxf34ywqf5442cui
tztvmpaufhu6mfi4vemid4ayid[.] onion - a3345hiuizvtfyiyu7rrj7oz4rn5pa
ms42sawmtznuvlxjdqlhfutoad[.] onion - a3ejbleqwu5fyiwvjk5bgqtezpmun6
j52bgutf7dhlnxb6k5oq4wycyd[.] onion - awmszp3t3zuni6f6stanp3zesiwdco
4nekn34wauxxqbcztz74jxjgad[.] onion - aydy72vlk4b43t6wqkrg2sijerykz5
a7xpu3twpavurtfy6cr5yjnnad[.] onion - braiqjhcq2by5ederrdm6phl5ibgas
lr3whrwsiqjzqz2sopp4nixvid[.] onion - eeg3ww3gtsq7ul7ovgrelurhahjtnu
o5h6k7yivdbiab36qxhxuguvqd[.] onion - eq4sd25kaavyspif2a72sa7zmdvwg7
zzzwjxcfougqonrkcsd4gounyd[.] onion - ev2awfjn4tsmeae3oiwiu2lndgxisn
t66cclszqaiogymiwawebcvzid[.] onion - ewecmdrizt7cbwi6d5lqdp2flm4xax
ymhjfbfszay6zlwwmudsognhqd[.] onion - fafo3thvdd74ogafpu6dqn6icsvyip
hjda4kcspqkiiv2n76droolzqd[.] onion - fyksdinxkx6k3wflss2smzpnfjmlj3
xuy2sdfd5ardr6xaahkhtkxpyd[.] onion - g67rpe6ii3fp2kcwsts5yfaiiprsa4
kqfhycr2p3dsjqonwhhob3rnqd[.] onion - geigbmqp356zfjfnc554dp4fs47x5w
vyijhyqx27harlfpu42vrlprad[.] onion - gg5nf65ygz7xlz4qjokmadu4lz6kyk
m7siuzmxv2dw36ft5oowizxyid[.] onion - gjgdw2l7pup7ld3zkz3bftscffrmzt
sti2d355ekdc63f4bn27imohqd[.] onion - gmfkr2hophk7quuedy2xtlydxo7wdu
ofmpi3nbf7gzmg4cv3xuvgtyad[.] onion - h3onjkbx25yjhvplvovqzp2tefp6hc
e3fo3cnakkxz3so2knvn6s6rad[.] onion - iggd7l4zis6nypic7acmxtdoryc5la
olmudcgiwtpzsg62v4vkxt6fid[.] onion - ihki5r4vy5rhvhcjc6a2luebw7l3m5
ahuxiail6wtsm5hrikbppdy5id[.] onion - ixviwydgphadlbitfs3inizpeg674q
ycqlvnanoky7xpukrwtbafejyd[.] onion - j3bp2a2ftceusjmsd2qz6htisf6uzc
j4ngrx2exffur5wqe7mndtreqd[.] onion - jay2ewakkvwfqhst3ug5q5fua5d7kc
u5ecyrk4d5gbfhqlidmtiackqd[.] onion - jhlkmmq4bvg5lncsllwfurwbymdtzd
vkzpw7ruwdhyp4uadpwyz7yryd[.] onion - jokcwtvo6t25g2oejfnmgztu6b6u2p
3gmo2vgmc6vcewfsr2hlxwomad[.] onion - k5fvnoaorhjem2yjoperd6lcdzev4y
5xvz4nnc3x5tk2acyek56mamad[.] onion - kiugtgblevzdc2srnvt7ldp2reuzdm
jwkxwjugcofrpopsavqnynd7qd[.] onion - klh6kylzhkerfgnosy3veygej3r7xr
kwxpnzvfhjihc5hpz7oylaq4qd[.] onion - kvekkvllgj35kmaa6oa63z6cexlqsw
tp2bfhddgupql3h4xlpj3mufqd[.] onion - kw5z4ogvnhjxp2xllnset4iouho34r
omb5wsanoekwgzcem3uahoh3id[.] onion - l6fio2skcgirpjnnwjyfw7i5b3lfvo
zkwnynrijutu5bergs4o7sgfad[.] onion - loafhlyog55jtww2eqldflasnti7me
64w4zoztqmik5oe4xyfiravxyd[.] onion - mjevfcggupyf6o4tj3fgig7m6vf2xe
tsdev7rzjbxttwhl3uouar2kyd[.] onion - mnuqin25leqrmfypizsieyo2h2ndeg
ol5cmkdyqj7rkv7yv5uknlzmid[.] onion - mtrwz36vndoar7iadv3qowefod5zmo
3wz5iq2i63rpg266ysvo6frbid[.] onion - ofsg5sib4xcikcczk7n73ypkd5uvzk
i57jiuj72ttg2hlrhpnwhaknqd[.] onion - p32ug5tz2cgkk3sbclm7i6luoespol
qq6v7dzldjwdpgxtm4h76zclyd[.] onion - pckttjjykdykdk2os5smy4jk3t46ny
qvqruch5xnnlh52yrt35wx5cad[.] onion - pdsaqpznzqjy5t5myudk7odo37mu7g
2olswaswhogrwglzk3iscbb2ad[.] onion - pgejmpol56kkaa6xjjg3pkztkvwjou
cqqdldrkka4ndaj467fr7jrgqd[.] onion - ppbgauyt2evbm5xltxvmokoi4g5uh3
wjdumudwlh2roxcodbl6ezzwqd[.] onion - q5zwtdfoe2xr57jfik7pwmns3crjpx
2ge6ibmrafjhqld64qyyk7tvyd[.] onion - qdwmp4bjzvotdsyz326szvk4q3ftgt
wyeoqsjyzywxw24y27n3z7mrqd[.] onion - sow4wrmh5xpwkdq775fouugrlizxjs
mn4yyyoa7hckkyol4kjudhrwyd[.] onion - svwwrxksrmg4ea5ndfrzurtixogdck
qkx4bhodf2tkqpxnpmujggooyd[.] onion - tkovkg2j6pigb6vnxfhfpg3n4w2fpe
gjnlrhgzwfvlt4wfspqiuqkxad[.] onion - udnxk4aprzds7khgjsllgmo6hluicn
2hibbhfih72csmoktksf3ky7qd[.] onion - ufxmwdan67ml3t4637l6tgor7jdxxh
m7xvdk2b2jexuu5unqvc3okbqd[.] onion - uye4vspplkdvqlw3rjb7kvjwtwqict
c5pepfxpdy3kifpxlwqhuhnaad[.] onion - vrfq4keuh6cx6hccue76emofi7ciit
ip3eqpe44mbnywamoi42wocsad[.] onion - w2zvw33dab2vhk3pnyy5cmmybsvdwp
7hgjwta4qoot57lsfxqpdbqpid[.] onion - wsagl5qz3haptofnxyxayxxiyuomj6
yqe4wruya6hyolohi7dux3ujqd[.] onion - xouenzgjpkf6cfan5rrkbn27xe3shf
nubchvnuztv2s2nnw4lpa2egqd[.] onion - ysz2dvpvygiweaymzatzukaccvlhid
kyw774ub2d77ibavelfoifgmqd[.] onion - zcohozbt4gcrtbojiyukiza6q3gv4o
wz7sxrqmpvhd4bpczbnijlfnyd[.] onion - znbyrqe4zrktft2kpwzb2ywx25k6ex
fdgxabky67csqado75364b2dad[.] onion - rlwryismmgjijryr55u5rqlbqghqvr
wxe5qgxupuviyysxkky5wah6yd[.] onion - 4dtu3lxrpx6nn7snjovoc3ldiy4x67
k7qsrgzftvkrttoqbwnsuirhqd[.] onion - v6lajszeqfkt3h2nptorindpf3mow5
p3thrx2vuqbqzbv3tjrcqmgdqd[.] onion
- 36ptmdeoog6cb7qga5mvg67xxsvjcz
Medidas de Contención
- Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
- Identificar los equipos internos que tengan actividad relacionada con los indicadores notificados y realizar un análisis a mayor profundidad.
- Mantener actualizadas las firmas de los antivirus y los sistemas operativos.
- Realizar la descarga de programas solo desde fuentes oficiales.
- Concientizar a usuarios finales respecto a este tipo de campañas.
Referencias
- https://www.zdnet.com/article/
new-kryptocibule-windows- malware-is-a-triple-threat- for-cryptocurrency-users/ - https://www.eset.com/au/about/
newsroom/press-releases1/ press-releases/eset-research- discovers-kryptocibule-the- multitasking-multicurrency- cryptostealer-1/ - https://www.diariobitcoin.com/
negocios/estafas/informe- advierte-sobre-malware-minero- que-ademas-roba-fondos-cripto- de-las-billeteras-de-los- equipos/ - https://github.com/eset/
malware-ioc/tree/master/ kryptocibule/