Базираната в Израел фирма за разузнаване на кибер заплахи Check Point Research (CPR) разкри злонамерена кампания за зловреден софтуер за копаене на крипто, наречена Nitrokod, като извършител зад заразяването на хиляди машини в 11 държави през доклад, публикуван в неделя.
Зловреден софтуер за крипто копаене, известен също като криптоджакери, е вид злонамерен софтуер, който използва изчислителната мощност на заразените компютри, за да копае криптовалута.
Nitrokod се представя за Google Translate Desktop и друг безплатен софтуер на уебсайтове, за да стартира злонамерен софтуер за крипто копаене и да заразява персонални компютри. Когато нищо неподозиращите потребители търсят „Изтегляне на Google Translate Desktop“, злонамерената връзка към заразения със зловреден софтуер софтуер се появява в горната част на резултатите от търсенето с Google.
От 2019 г. злонамереният софтуер работи с многоетапен процес на заразяване, като започва със забавяне на заразяването на процеса до няколко седмици, след като потребителите изтеглят злонамерената връзка. Те също така премахват следи от оригиналната инсталация, като предпазват зловреден софтуер от откриване от антивирусни програми.
„След като потребителят стартира новия софтуер, се инсталира действително приложение Google Translate“, се казва в доклада за CPR. Това е мястото, където жертвите се натъкват на реалистично изглеждащи програми с базирана на Chromium рамка, която насочва потребителя от уеб страницата на Google Translate и го подмамва да изтегли фалшивото приложение.
В следващия етап злонамереният софтуер планира задачи за изчистване на регистрационни файлове, за да премахне свързани файлове и доказателства, а следващият етап от веригата на заразяване ще продължи след 15 дни. Многоетапният подход помага на злонамерения софтуер да избегне откриването в пясъчна среда, създадена от изследователи по сигурността.
„В допълнение, актуализиран файл се изпуска, което започва серия от четири капки до действителен зловреден софтуер е премахнат“, се добавя в доклада на CPR.
С други думи, злонамереният софтуер започва операция за крипто копаене Monero (XMR), при която злонамереният софтуер „powermanager.exe“ се пуска скрито в заразените машини чрез свързване към неговия сървър за командване и контрол, който позволява на киберпрестъпниците да монетизират потребителите на настолното приложение на Google Translate .
Monero е най-известната криптовалута за криптовалути и други незаконни транзакции. Криптовалутата предлага почти анонимност за своите притежатели.
Лесно е да станете жертва на злонамерен софтуер за крипто копаене, тъй като те се изпускат от софтуера, намиращ се в горната част на резултатите от търсенето с Google за легитимирани приложения. Ако подозирате, че компютърът ви е заразен, подробности за това как да възстановите заразената си машина можете да намерите в края на доклада за CPR.
Източник: https://cryptoslate.com/crypto-miner-malware-impersonates-google-translate-desktop-other-legitimate-apps/