Obavještajna tvrtka o cyber prijetnjama sa sjedištem u Izraelu, Check Point Research (CPR), razotkrila je zlonamjernu kampanju zlonamjernog softvera za kripto rudarenje nazvanu Nitrokod kao počinitelja koji stoji iza infekcije tisuća strojeva u 11 zemalja u izvješće objavljeno u nedjelju.
Zlonamjerni softver za kripto rudare, poznat i kao kriptojackers, vrsta je zlonamjernog softvera koji iskorištava računalnu snagu zaraženih računala za rudarenje kriptovalute.
Nitrokod je lažno predstavljao Google Translate Desktop i drugi besplatni softver na web stranicama kako bi pokrenuo zlonamjerni softver za kripto rudar i zarazio računala. Kada korisnici koji ništa ne sumnjaju pretražuju "Google Translate Desktop preuzimanje", zlonamjerna poveznica na softver zaražen zlonamjernim softverom pojavljuje se na vrhu rezultata Google pretraživanja.
Od 2019. zlonamjerni softver radi s višefaznim procesom infekcije, počevši odgodom kontaminacije procesa infekcije do nekoliko tjedana nakon što korisnici preuzmu zlonamjernu vezu. Također uklanjaju tragove izvorne instalacije, štiteći antivirusne programe od zlonamjernog softvera.
"Nakon što korisnik pokrene novi softver, instalira se stvarna aplikacija Google Translate", stoji u izvješću CPR-a. Ovdje se žrtve susreću s programima realističnog izgleda s okvirom temeljenim na Chromiumu koji usmjerava korisnika s web stranice Google Translate i vara ih da preuzmu lažnu aplikaciju.
U sljedećoj fazi zlonamjerni softver planira zadatke za brisanje zapisa kako bi uklonio povezane datoteke i dokaze, a sljedeća faza lanca infekcije nastavit će se nakon 15 dana. Višestupanjski pristup pomaže zlonamjernom softveru da izbjegne otkrivanje u sandboxu koji su postavili sigurnosni istraživači.
“Osim toga, ispušta se ažurirana datoteka, što započinje niz od četiri droppera do stvaran malware je odbačen,” dodaje se u izvješću CPR-a.
Drugim riječima, zlonamjerni softver pokreće Monero (XMR) operaciju kripto-rudarenja pri čemu se zlonamjerni softver “powermanager.exe” potajno ubacuje u zaražene strojeve povezivanjem na njegov poslužitelj za naredbe i kontrolu koji kibernetičkim kriminalcima omogućuje unovčavanje korisnika stolne aplikacije Google Translate. .
Monero je najpoznatija kriptovaluta za kriptovalute i druge nedopuštene transakcije. Kriptovaluta nudi gotovo anonimnost za svoje posjednike.
Lako je postati žrtvom zlonamjernog softvera za kripto rudare jer se ispuštaju iz softvera koji se nalazi na vrhu Google rezultata pretraživanja za legitimne aplikacije. Ako sumnjate da je vaše računalo zaraženo, pojedinosti o tome kako oporaviti zaraženi stroj mogu nalazi se na kraju izvješća o CPR-u.
Izvor: https://cryptoslate.com/crypto-miner-malware-impersonates-google-translate-desktop-other-legitimate-apps/