TLP: Amber
NIVEL DE RIESGO – [Alto]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Software infectado.
Impacto: Robo de criptomonedas.

Descripción

Una empresa de ciberseguridad publicó un informe sobre un nuevo troyano denominado “KryptoCibule”, el cual tiene como objetivo robar criptomonedas y está particularmente dirigido a usuarios en los países de Republica Checa y Eslovaquia.

Este troyano es propagado por medio de archivos “Torrent” maliciosos, engañando al usuario para descargar un supuesto software, sin embargo, cuando el programa es instalado, KryptoCibule se ejecuta en segundo plano.

Primeramente, KryptoCibule comienza a configurar un mecanismo de persistencia de reinicio basado en tareas programadas para instalarse y empezar a descargar otros módulos de criptominería y servidores HTTP y SFT, que lo ayudarán en su tarea. Después, KryptoCibule realiza una comunicación con el atacante por el protolo “BitTorrent” y a través de la red “Tor” ya que sus servidores de comando y control (C&C) se encuentran alojados en la “Dark Web”.

KryptoCibule es distinguido por ser capaz de utilizar los recursos de la víctima para extraer criptomonedas, secuestrar transacciones que vienen en dirección hacia las billeteras digitales, y por filtrar archivos relacionados con las criptomonedas, al mismo tiempo que implementa técnicas para evitar ser detectado en el equipo.

Nivel de riesgo

  • [Alto]

Sistemas/tecnologías afectadas:

  • Sistema Operativo Microsoft Windows.

Indicadores de compromiso (IoCs)

A continuación, se listan los Indicadores de compromiso (IoCs) identificados hasta el momento relacionados con el programa malicioso reportado en esta alerta:

  • SHA-1:
    • 49D3FE31B87B14BEF61A6029A644DA3DDC81AE85
    • 83F9C10D41A32D74FCF0549739487CEA90233EE2
    • 181C9FEE9834EAEE428EDFD4048F383BDD6FED2A
    • D9AA64D954A531074AF5C167B7066EDF989B49D8
    • DA402887CBD05CBE123EB6AF437EFCAC2BA70555
    • 3BCEF852639F85803974943FC34EFF2D6D7D916D
    • 5505341E3185E3EADCBE3164ECA616A0F86D8B5D
    • 7563610DA47ECE49216E6D4F75EA3E2FCEC4CE3E
    • 05D461259BDDB6AD70CEB96A6A81746423EB5DB4
    • 352743EBE6A0638CC0614216AD000B6A43C4D46E
    • 8EDEE68B15E2F3C8484F18D34976C3506EACA30D
    • 929E362EB857203155ACD9526E6FA60339DAA42F
    • 88920FE8AACFE9102B00026524353D28D2CCF5E1
    • 341F8F2566B601E6825DC9E00FA3BEE490AE4728
    • A2D69583CFB8849C4852865FE43CEEA55BD7E065
    • 29B0DF9E0F1AFA5DF39B9F3E6C2EDA40AA8B1E5F
    • 70480D5F4CB10DE42DD2C863DDF57102BE6FA9E0
    • 8CC0C300739E6887358169E6B9939FB83362E17E
  • Sitios en la Dark Web:
    • 36ptmdeoog6cb7qga5mvg67xxsvjcztppvexzv7v3nh3v5ysrqpdoqqd[.]onion
    • 372dwco4guzmbsxuzojpxu5szfonkxe5itnbscrq2j42rab2t2ncahyd[.]onion
    • 4awm6qxdepo4eezambtqy37glf3yfsqmffahdrftap52vnft7w6qjrqd[.]onion
    • 4d5sfoijltk6ymy56zxn5kibkev2bqrtvofpgej5q5td3y23sa7ot6id[.]onion
    • 4lb3ggyyldqrovgjn5muidit7lly26qysmhsvdvm7uxxor43r3trzeqd[.]onion
    • 6m4ujiinnntagmvcr5xlrhprwo4ogynx5ermkb5g2tmogqmvl4jqg2qd[.]onion
    • 6u7fbyoeztemm2x3eqqqmxdjnwcwr774omb357v575rdw6fbs6dsocid[.]onion
    • 7qggtksfcrk67dhxf34ywqf5442cuitztvmpaufhu6mfi4vemid4ayid[.]onion
    • a3345hiuizvtfyiyu7rrj7oz4rn5pams42sawmtznuvlxjdqlhfutoad[.]onion
    • a3ejbleqwu5fyiwvjk5bgqtezpmun6j52bgutf7dhlnxb6k5oq4wycyd[.]onion
    • awmszp3t3zuni6f6stanp3zesiwdco4nekn34wauxxqbcztz74jxjgad[.]onion
    • aydy72vlk4b43t6wqkrg2sijerykz5a7xpu3twpavurtfy6cr5yjnnad[.]onion
    • braiqjhcq2by5ederrdm6phl5ibgaslr3whrwsiqjzqz2sopp4nixvid[.]onion
    • eeg3ww3gtsq7ul7ovgrelurhahjtnuo5h6k7yivdbiab36qxhxuguvqd[.]onion
    • eq4sd25kaavyspif2a72sa7zmdvwg7zzzwjxcfougqonrkcsd4gounyd[.]onion
    • ev2awfjn4tsmeae3oiwiu2lndgxisnt66cclszqaiogymiwawebcvzid[.]onion
    • ewecmdrizt7cbwi6d5lqdp2flm4xaxymhjfbfszay6zlwwmudsognhqd[.]onion
    • fafo3thvdd74ogafpu6dqn6icsvyiphjda4kcspqkiiv2n76droolzqd[.]onion
    • fyksdinxkx6k3wflss2smzpnfjmlj3xuy2sdfd5ardr6xaahkhtkxpyd[.]onion
    • g67rpe6ii3fp2kcwsts5yfaiiprsa4kqfhycr2p3dsjqonwhhob3rnqd[.]onion
    • geigbmqp356zfjfnc554dp4fs47x5wvyijhyqx27harlfpu42vrlprad[.]onion
    • gg5nf65ygz7xlz4qjokmadu4lz6kykm7siuzmxv2dw36ft5oowizxyid[.]onion
    • gjgdw2l7pup7ld3zkz3bftscffrmztsti2d355ekdc63f4bn27imohqd[.]onion
    • gmfkr2hophk7quuedy2xtlydxo7wduofmpi3nbf7gzmg4cv3xuvgtyad[.]onion
    • h3onjkbx25yjhvplvovqzp2tefp6hce3fo3cnakkxz3so2knvn6s6rad[.]onion
    • iggd7l4zis6nypic7acmxtdoryc5laolmudcgiwtpzsg62v4vkxt6fid[.]onion
    • ihki5r4vy5rhvhcjc6a2luebw7l3m5ahuxiail6wtsm5hrikbppdy5id[.]onion
    • ixviwydgphadlbitfs3inizpeg674qycqlvnanoky7xpukrwtbafejyd[.]onion
    • j3bp2a2ftceusjmsd2qz6htisf6uzcj4ngrx2exffur5wqe7mndtreqd[.]onion
    • jay2ewakkvwfqhst3ug5q5fua5d7kcu5ecyrk4d5gbfhqlidmtiackqd[.]onion
    • jhlkmmq4bvg5lncsllwfurwbymdtzdvkzpw7ruwdhyp4uadpwyz7yryd[.]onion
    • jokcwtvo6t25g2oejfnmgztu6b6u2p3gmo2vgmc6vcewfsr2hlxwomad[.]onion
    • k5fvnoaorhjem2yjoperd6lcdzev4y5xvz4nnc3x5tk2acyek56mamad[.]onion
    • kiugtgblevzdc2srnvt7ldp2reuzdmjwkxwjugcofrpopsavqnynd7qd[.]onion
    • klh6kylzhkerfgnosy3veygej3r7xrkwxpnzvfhjihc5hpz7oylaq4qd[.]onion
    • kvekkvllgj35kmaa6oa63z6cexlqswtp2bfhddgupql3h4xlpj3mufqd[.]onion
    • kw5z4ogvnhjxp2xllnset4iouho34romb5wsanoekwgzcem3uahoh3id[.]onion
    • l6fio2skcgirpjnnwjyfw7i5b3lfvozkwnynrijutu5bergs4o7sgfad[.]onion
    • loafhlyog55jtww2eqldflasnti7me64w4zoztqmik5oe4xyfiravxyd[.]onion
    • mjevfcggupyf6o4tj3fgig7m6vf2xetsdev7rzjbxttwhl3uouar2kyd[.]onion
    • mnuqin25leqrmfypizsieyo2h2ndegol5cmkdyqj7rkv7yv5uknlzmid[.]onion
    • mtrwz36vndoar7iadv3qowefod5zmo3wz5iq2i63rpg266ysvo6frbid[.]onion
    • ofsg5sib4xcikcczk7n73ypkd5uvzki57jiuj72ttg2hlrhpnwhaknqd[.]onion
    • p32ug5tz2cgkk3sbclm7i6luoespolqq6v7dzldjwdpgxtm4h76zclyd[.]onion
    • pckttjjykdykdk2os5smy4jk3t46nyqvqruch5xnnlh52yrt35wx5cad[.]onion
    • pdsaqpznzqjy5t5myudk7odo37mu7g2olswaswhogrwglzk3iscbb2ad[.]onion
    • pgejmpol56kkaa6xjjg3pkztkvwjoucqqdldrkka4ndaj467fr7jrgqd[.]onion
    • ppbgauyt2evbm5xltxvmokoi4g5uh3wjdumudwlh2roxcodbl6ezzwqd[.]onion
    • q5zwtdfoe2xr57jfik7pwmns3crjpx2ge6ibmrafjhqld64qyyk7tvyd[.]onion
    • qdwmp4bjzvotdsyz326szvk4q3ftgtwyeoqsjyzywxw24y27n3z7mrqd[.]onion
    • sow4wrmh5xpwkdq775fouugrlizxjsmn4yyyoa7hckkyol4kjudhrwyd[.]onion
    • svwwrxksrmg4ea5ndfrzurtixogdckqkx4bhodf2tkqpxnpmujggooyd[.]onion
    • tkovkg2j6pigb6vnxfhfpg3n4w2fpegjnlrhgzwfvlt4wfspqiuqkxad[.]onion
    • udnxk4aprzds7khgjsllgmo6hluicn2hibbhfih72csmoktksf3ky7qd[.]onion
    • ufxmwdan67ml3t4637l6tgor7jdxxhm7xvdk2b2jexuu5unqvc3okbqd[.]onion
    • uye4vspplkdvqlw3rjb7kvjwtwqictc5pepfxpdy3kifpxlwqhuhnaad[.]onion
    • vrfq4keuh6cx6hccue76emofi7ciitip3eqpe44mbnywamoi42wocsad[.]onion
    • w2zvw33dab2vhk3pnyy5cmmybsvdwp7hgjwta4qoot57lsfxqpdbqpid[.]onion
    • wsagl5qz3haptofnxyxayxxiyuomj6yqe4wruya6hyolohi7dux3ujqd[.]onion
    • xouenzgjpkf6cfan5rrkbn27xe3shfnubchvnuztv2s2nnw4lpa2egqd[.]onion
    • ysz2dvpvygiweaymzatzukaccvlhidkyw774ub2d77ibavelfoifgmqd[.]onion
    • zcohozbt4gcrtbojiyukiza6q3gv4owz7sxrqmpvhd4bpczbnijlfnyd[.]onion
    • znbyrqe4zrktft2kpwzb2ywx25k6exfdgxabky67csqado75364b2dad[.]onion
    • rlwryismmgjijryr55u5rqlbqghqvrwxe5qgxupuviyysxkky5wah6yd[.]onion
    • 4dtu3lxrpx6nn7snjovoc3ldiy4x67k7qsrgzftvkrttoqbwnsuirhqd[.]onion
    • v6lajszeqfkt3h2nptorindpf3mow5p3thrx2vuqbqzbv3tjrcqmgdqd[.]onion

Medidas de Contención

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Identificar los equipos internos que tengan actividad relacionada con los indicadores notificados y realizar un análisis a mayor profundidad.
  • Mantener actualizadas las firmas de los antivirus y los sistemas operativos.
  • Realizar la descarga de programas solo desde fuentes oficiales.
  • Concientizar a usuarios finales respecto a este tipo de campañas.

Referencias