A KryptoCibule névre keresztelt kártevő az ESET telemetrikus rendszerének megfigyelései alapján úgy tűnik, hogy elsődlegesen eddig a Csehországban és Szlovákiában élő felhasználókat célozza meg.

A vírus háromszoros fenyegetést jelent: felhasználja az áldozat erőforrásait kriptovaluták bányászatához, megpróbálja eltéríteni a tranzakciókat a vágólapra helyezett online pénztárca-azonosító adatok kicserélésével, és kiszűri a kriptovalutával kapcsolatos fájlokat – mindezt úgy, hogy közben különböző technikák bevetésével igyekszik elkerülni az észlelést. A KryptoCibule az internetes anonimitást lehetővé tévő Tor-hálózatot és a BitTorrent protokollt használja kommunikációs infrastruktúrájához.

„A rosszindulatú program működése közben néhány legitim szoftvert is felhasznál. Ezek közül néhány – például a Tor és a Transmission torrent kliens – közös csomagban van a telepítővel; mások a futtatási idő során később töltődnek le, beleértve az Apache httpd és a Buru SFTP szervereket” – nyilatkozott Matthieu Faou, az ESET kutatója, aki az új rosszindulatú szoftvercsaládot leleplezte és vizsgálta.

Az ESET sikeresen azonosította a napjainkban is aktív KryptoCibule több változatát, így annak fejlődése egészen 2018 decemberéig visszakövethetővé vált. A rosszindulatú szoftvert eddigi pályafutása során rendszeresen bővítették újabb képességekkel, és úgy tűnik, továbbra is folyamatos fejlesztés alatt áll.

Az áldozatok döntő többsége Csehországból és Szlovákiából származik, ezt tükrözi a fertőzött torrenteknek otthont adó weboldalak felhasználói adatbázisa is. Szinte az összes kártékony torrent megtalálható az uloz.to fájlmegosztó oldalon, amely mindkét országban nagy népszerűségnek örvend.