- Nitrokod je trenutno istaknut na vrhu Google rezultata pretraživanja za popularne aplikacije, uključujući Prevoditelj
- Zlonamjerni softver zlonamjerno rudari monero koristeći računalne resurse korisnika, po uzoru na nekoć plodni CoinHive
Podmukla kampanja zlonamjernog softvera usmjerena na korisnike koji pretražuju Googleove aplikacije zarazila je tisuće računala širom svijeta kako bi rudarila crypto monero (XMR) usmjerena na privatnost.
Vjerojatno nikada niste čuli za Nitrokod. Cyber obavještajna tvrtka sa sjedištem u Izraelu Check Point Research (CPR) prošlog je mjeseca naišla na zlonamjerni softver.
U izvještaj u nedjelju, tvrtka je rekla da se Nitrokod u početku maskirao kao besplatni softver, nakon što je postigao izuzetan uspjeh na vrhu Google rezultata pretraživanja za "preuzimanje Google Translate desktopa".
Također poznat kao cryptojacking, zlonamjerni softver za rudarenje koristi se za infiltraciju u strojeve korisnika koji ništa ne sumnjaju najmanje od 2017., kada su postali istaknuti zajedno s popularnošću kriptovaluta.
CPR je prethodno otkrio dobro poznati zlonamjerni softver CoinHive koji je također rudario XMR u studenom te godine. Rečeno je da CoinHive krade 65% ukupnih CPU resursa krajnjeg korisnika bez njihova znanja. Akademici izračunava malware je na svom vrhuncu zarađivao 250,000 dolara mjesečno, a većina je odlazila manje od desetak pojedinaca.
Što se tiče Nitrokoda, CPR vjeruje da ga je postavio entitet s turskog govornog područja negdje 2019. Djeluje u sedam faza dok se kreće svojim putem kako bi izbjegao otkrivanje tipičnih antivirusnih programa i obrane sustava.
"Zlonamjerni softver se lako uklanja iz softvera koji se nalazi na vrhu Google rezultata pretraživanja za legitimne aplikacije", napisala je tvrtka u svom izvješću.
Utvrđeno je da su Softpedia i Uptodown dva glavna izvora lažnih aplikacija. Blockworks je kontaktirao Google kako bi saznao više o tome kako filtrira ove vrste prijetnji.
Nakon preuzimanja aplikacije, instalacijski program izvršava odgođeni dropper i kontinuirano se ažurira pri svakom ponovnom pokretanju. Petog dana odgođena kapaljka izvlači šifriranu datoteku.
Datoteka zatim pokreće završne faze Nitrokoda, koje se odnose na raspoređivanje zadataka, brisanje zapisa i dodavanje iznimaka antivirusnim vatrozidima nakon što istekne 15 dana.
Naposljetku, zlonamjerni softver za kripto rudarenje “powermanager.exe” potajno se ispušta na zaraženo računalo i počinje generirati kriptovalute pomoću otvorenog koda XMRiga CPU rudara temeljenog na Monerou (isti onaj koji koristi CoinHive).
“Nakon početne instalacije softvera, napadači su odgodili proces infekcije tjednima i izbrisali tragove iz izvorne instalacije”, napisala je tvrtka u svom izvješću. "To je omogućilo kampanji da godinama uspješno djeluje ispod radara."
Pojedinosti o tome kako očistiti strojeve zaražene Nitrokodom možete pronaći na kraj CPR-ovog izvješća o prijetnjama.
Svake večeri primajte najvažnije dnevne kripto vijesti i uvide u svoju pristiglu poštu. Pretplatite se na Blockworksov besplatni bilten sada.
Izvor: https://blockworks.co/monero-mining-malware-finds-success-at-top-of-google-search/