Patrí do rodiny trójskych koní, ktorá doposiaľ nebola výskumníkmi zdokumentovaná. KryptoCybule sa šíri cez škodlivé torrenty, ktoré užívateľom sľubujú pomoc so stiahnutím pirátskych verzií rôznych programov a počítačových hier. Pri sťahovaní torrentov je počítač, ktorý ich sťahuje využívaný aj na ich ďalšie šírenie. “Obeť je teda nevedomky infikovaná škodlivým kódom KryptoCibule, a zároveň ho cez torrenty šíri ďalej,” uviedol Eset, ktorý na malvér aj upozornil.
Obeťami tohto malvéru sú zväčša používatelia z Čiech a Slovenska, čo je odrazom typického návštevníka stránky, na ktorej sa infikované torrenty nachádzajú. Infikované súbory sa nachádzajú na českom serveri ulož.to, ktorý je známym nástrojom na zdieľanie pirátskych filmov alebo aplikácií. Zaujímavosťou je, že malvér zisťuje, či je v systéme nainštalovaný niektorý z antivírusových programov. "KryptoCibule napríklad na zariadení obete overuje, či sa na nej nachádza jedno z riešení slovenských alebo českých bezpečnostných spoločností ESET, Avast alebo AVG. Ak takýto program nájde, komponent slúžiaci na ťaženie kryptomien do zariadenia nenainštaluj,” upresnil Eset.
Škodlivý kód podľa spoločnosti predstavuje až trojitú hrozbu. V prvom rade zneužíva zdroje obete na ťažbu kryptomien, pokúša sa tiež presmerovať finančné transakcie zmenou adresy kryptopeňaženky, a žakisto sa pokúša kradnúť súbory súvisiace s kryptomenami, heslami a bankami. Využíva na to rôzne techniky, ktoré škodlivému kódu pomáhajú ukryť sa pred možným odhalením. KryptoCibule využíva na komunikáciu sieť Tor a protokol BitTorrent. “Škodlivý kód využíva niekoľko legitímnych programov. K niektorým z nich je pribalený inštalátor samotného škodlivého kódu, napríklad k Toru a torrentovému klientovi,“ vysvetľuje Matthieu Faou z Esetu.