Izraelska firma zajmująca się badaniem zagrożeń cybernetycznych, Check Point Research (CPR), zdemaskowała złośliwą kampanię złośliwego oprogramowania do wydobywania kryptowalut, nazwaną Nitrokod sprawcą infekcji tysięcy maszyn w 11 krajach w raport opublikowany w niedzielę.
Złośliwe oprogramowanie do wydobywania kryptowalut, znane również jako cryptojackers, to rodzaj złośliwego oprogramowania, które wykorzystuje moc obliczeniową zainfekowanych komputerów do kopania kryptowaluty.
Nitrokod podszywa się pod Google Translate Desktop i inne bezpłatne oprogramowanie na stronach internetowych, aby uruchamiać złośliwe oprogramowanie do wydobywania kryptowalut i infekować komputery. Gdy niczego niepodejrzewający użytkownicy wyszukują hasło „Pobranie Tłumacza Google Desktop”, złośliwy link do oprogramowania zainfekowanego złośliwym oprogramowaniem pojawia się na górze wyników wyszukiwania Google.
Od 2019 roku szkodnik działa w wieloetapowym procesie infekcji, rozpoczynając od opóźnienia procesu infekcji do kilku tygodni po pobraniu przez użytkowników szkodliwego linku. Usuwają również ślady oryginalnej instalacji, chroniąc przed wykryciem złośliwego oprogramowania przez programy antywirusowe.
„Gdy użytkownik uruchamia nowe oprogramowanie, instalowana jest rzeczywista aplikacja Tłumacz Google” – czytamy w raporcie CPR. W tym miejscu ofiary napotykają realistycznie wyglądające programy z ramami opartymi na Chromium, które przekierowują użytkownika ze strony Tłumacza Google i nakłaniają go do pobrania fałszywej aplikacji.
W kolejnym etapie złośliwe oprogramowanie planuje zadania czyszczenia dzienników w celu usunięcia powiązanych plików i dowodów, a kolejny etap łańcucha infekcji będzie kontynuowany po 15 dniach wieloetapowe podejście pomaga złośliwemu oprogramowaniu uniknąć wykrycia w piaskownicy skonfigurowanej przez badaczy bezpieczeństwa.
„Ponadto zaktualizowany plik jest upuszczany, co uruchamia serię czterech dropperów aż do rzeczywisty złośliwe oprogramowanie jest usuwane” – dodano raport CPR.
Innymi słowy, złośliwe oprogramowanie uruchamia operację wydobywania kryptowalut Monero (XMR), dzięki której złośliwe oprogramowanie „powermanager.exe” jest potajemnie wrzucane na zainfekowane maszyny, łącząc się z serwerem Command and Control, który umożliwia cyberprzestępcom zarabianie na użytkownikach komputerowej aplikacji Tłumacza Google .
Monero jest najbardziej znaną kryptowalutą dla cryptojackerów i innych nielegalnych transakcji. Kryptowaluta oferuje swoim posiadaczom prawie anonimowość.
Łatwo jest paść ofiarą złośliwego oprogramowania do wydobywania kryptowalut, ponieważ są one usuwane z oprogramowania znajdującego się na górze wyników wyszukiwania Google dla legalnych aplikacji. Jeśli podejrzewasz, że Twój komputer jest zainfekowany, szczegółowe informacje o tym, jak odzyskać zainfekowany komputer, mogą: można znaleźć na końcu raportu z RKO.
Źródło: https://cryptoslate.com/crypto-miner-malware-impersonates-google-translate-desktop-other-legitimate-apps/