نشر خبراء الأمن السيبراني في "إسيت" دراسة متعمقة حول برنامج ضار جديد يسمى "كريبتو سيبول". يستهدف هذا الاستغلال مستخدمي ويندوز على وجه التحديد بثلاث طرق للهجوم، بما في ذلك عن طريق تثبيت تطبيق تعدين العملات المشفرة، وسرقة ملفات محفظة العملات المشفرة مباشرة، واستبدال عناوين المحفظة التي تم نسخها/لصقها كوسيلة لسرقة المعاملات الفردية.

ووفقًا لشركة الأمن السيبراني، يعتمد مطورو كريبتو سيبول على شبكة تور وبروتوكول بيتورنت لتنسيق الهجمات.

ظهر التجسيد الأصلي للبرامج الضارة لأول مرة في ديسمبر ٢٠١٨. وفي ذلك الوقت، كانت مجرد أداة تعدين مونيرو هي التي تحصد بهدوء موارد نظام المستخدم لإنشاء العملات. وبحلول فبراير ٢٠١٩، تطور كريبتو سيبول ليشمل طرقًا لتصفية ملفات المحفظة المشفرة من الأجهزة الضحية. منذ ذلك الحين، أضاف البرنامج الضار بعدًا ثالثًا لقاعدة هجومه مع تضمين kawpowminer - وهو تطبيق يقوم بتعدين إيثريوم (ETH).

كشف قياس إسيت عن بُعد أن الضحايا كانوا ينشطون في تنزيل ملفات تورنت مصابة تحتوي على كريبتو سيبول عبر موقع مشاركة ملفات يسمى Uloz. ويبدو أن معظمها يقع في جمهورية التشيك وسلوفاكيا.

وقد أشار الباحثون إلى أنه على الرغم من تقدم البرنامج الضار إلا "لا يبدو أنه اجتذب الكثير من الاهتمام حتى الآن":

"من المفترض أن مشغلي البرمجيات الخبيثة كانوا قادرين على كسب المزيد من المال من خلال سرقة المحافظ وتعدين العملات المشفرة أكثر مما وجدنا في المحافظ التي يستخدمها مكون اختطاف الحافظة. لا يبدو الدخل الناتج عن هذا المكون وحده كافيًا لتبرير جهود التطوير التي لوحظت".

أشارت شركة الأمن السيبراني سيماتيك في أغسطس إلى أن أسعار أصول بلوكتشين بدأت في الارتفاع في أعقاب انهيار مارس، مدعية أن هذا أدى إلى موجة جديدة من هجمات التعدين الخفي.