Az izraeli székhelyű kiberfenyegetésekkel foglalkozó hírszerző cég, a Check Point Research (CPR) leleplezte a Nitrokodnak nevezett rosszindulatú kriptobányászati kártevő kampányt, amely 11 országban több ezer gép megfertőződése mögött áll. vasárnap megjelent jelentés.
A Crypto Miner malware, más néven cryptojacker, egy olyan rosszindulatú program, amely a fertőzött PC-k számítási teljesítményét használja ki kriptovaluta bányászatára.
A Nitrokod a Google Translate Desktop-ot és más ingyenes szoftvereket adja ki webhelyeken, hogy kriptobányász kártevőket indítson el és megfertőzze a számítógépeket. Amikor a gyanútlan felhasználók a „Google Fordító asztali letöltése” kifejezésre keresnek, a rosszindulatú szoftverrel fertőzött szoftverre mutató rosszindulatú link megjelenik a Google keresési eredményeinek tetején.
2019 óta a rosszindulatú program többlépcsős fertőzési folyamattal működik, kezdve azzal, hogy elhalasztja a fertőzési folyamatot néhány héttel azután, hogy a felhasználók letöltötték a rosszindulatú linket. Eltüntetik az eredeti telepítés nyomait is, védve a kártevőt a víruskeresők általi észleléstől.
„Amint a felhasználó elindítja az új szoftvert, egy tényleges Google Fordító alkalmazás kerül telepítésre” – olvasható a CPR-jelentésben. Itt találkoznak az áldozatok valósághűnek tűnő programokkal, amelyek Chromium-alapú keretrendszerrel rendelkeznek, és a felhasználót a Google Fordító weboldaláról irányítják, és ráveszik őket a hamis alkalmazás letöltésére.
A következő szakaszban a rosszindulatú program ütemezi a naplók törlésére vonatkozó feladatokat a kapcsolódó fájlok és bizonyítékok eltávolítása érdekében, és a fertőzési lánc következő szakasza 15 nap után folytatódik. A többlépcsős megközelítés segít elkerülni a kártevő észlelését a biztonsági kutatók által felállított homokozóban.
„Emellett egy frissített fájl is eldobásra kerül, amely négy cseppentőből álló sorozatot indít el egészen a tényleges rosszindulatú programokat dobtak el” – tette hozzá a CPR-jelentés.
Más szavakkal, a rosszindulatú program Monero (XMR) kriptobányászati műveletet indít el, amelynek során a „powermanager.exe” kártevőt lopva a fertőzött gépekre ejtik azáltal, hogy csatlakozik annak Command and Control szerveréhez, amely lehetővé teszi a kiberbűnözők számára, hogy bevételt szerezzenek a Google Fordító asztali alkalmazásának felhasználóival. .
A Monero a legismertebb kriptovaluta a cryptojackerek és más tiltott tranzakciók számára. A kriptovaluta szinte anonimitást kínál birtokosai számára.
Könnyű áldozatává válni a kriptobányász rosszindulatú programoknak, mivel azok kikerülnek a Google legalizált alkalmazások keresési eredményeinek tetején található szoftverekből. Ha azt gyanítja, hogy számítógépe fertőzött, a fertőzött gép helyreállításának részleteiről tájékozódhat a CPR-jelentés végén található.
Forrás: https://cryptoslate.com/crypto-miner-malware-impersonates-google-translate-desktop-other-legitimate-apps/