- В момента Nitrokod е представен в горната част на резултатите от търсенето с Google за популярни приложения, включително Translate
- Зловреден софтуер злонамерено копае monero, използвайки компютърните ресурси на потребителите, повтаряйки някога плодотворния CoinHive
Коварна кампания за злонамерен софтуер, насочена към потребители, търсещи приложения на Google, е заразила хиляди компютри в световен мащаб, за да копае фокусирано върху поверителността crypto monero (XMR).
Вероятно никога не сте чували за Нитрокод. Базираната в Израел фирма за киберразузнаване Check Point Research (CPR) се натъкна на зловреден софтуер миналия месец.
В отчет в неделя, фирмата каза, че Nitrokod първоначално се маскира като безплатен софтуер, след като е намерил забележителен успех в горната част на резултатите от търсенето с Google за „изтегляне на Google Translate за настолен компютър“.
Известен също като криптоджакинг, зловреден софтуер за копаене се използва за проникване в машини на нищо неподозиращи потребители поне от 2017 г., когато стана известен заедно с популярността на крипто.
CPR преди това откри добре познат зловреден софтуер за криптовалути CoinHive, който също копае XMR, през ноември същата година. Говореше се, че CoinHive краде 65% от общите процесорни ресурси на крайния потребител без тяхно знание. академици изчислена зловредният софтуер генерираше $250,000 XNUMX на месец в своя пик, като по-голямата част от него отиваше на по-малко от дузина лица.
Що се отнася до Nitrokod, CPR смята, че е бил внедрен от турскоезична организация някъде през 2019 г. Той работи на седем етапа, докато се движи по пътя си, за да избегне откриването от типични антивирусни програми и системи за защита.
„Злонамереният софтуер лесно се отстранява от софтуера, намиращ се в най-добрите резултати от търсенето с Google за легитимни приложения“, пише фирмата в доклада си.
Установено е, че Softpedia и Uptodown са два основни източника на фалшиви приложения. Blockworks се свърза с Google, за да научи повече за това как филтрира този вид заплахи.
След като изтегли приложението, инсталаторът изпълнява отложено капкане и непрекъснато се актуализира при всяко рестартиране. На петия ден отложеният капкомер извлича шифрован файл.
След това файлът инициира последните етапи на Nitrokod, които включват планиране на задачи, изчистване на регистрационни файлове и добавяне на изключения към антивирусните защитни стени, след като изтекат 15 дни.
И накрая, зловреден софтуер за копаене на крипто „powermanager.exe“ тайно се пуска на заразената машина и започва да генерира криптовалута с помощта на базиран на Monero процесор с отворен код XMRig (същия, използван от CoinHive).
„След първоначалната инсталация на софтуера нападателите забавиха процеса на заразяване със седмици и изтриха следи от първоначалната инсталация“, пише фирмата в доклада си. „Това позволи на кампанията да работи успешно под радара години наред.“
Подробности за това как да почистите машини, заразени с Nitrokod, можете да намерите на край на доклада за заплаха на CPR.
Получавайте най-важните крипто новини и прозрения за деня във входящата си поща всяка вечер. Абонирайте се за безплатния бюлетин на Blockworks сега.
Източник: https://blockworks.co/monero-mining-malware-finds-success-at-top-of-google-search/