Η εταιρεία πληροφοριών για απειλές στον κυβερνοχώρο, Check Point Research (CPR), με έδρα το Ισραήλ, αποκάλυψε μια κακόβουλη εκστρατεία κακόβουλου λογισμικού εξόρυξης κρυπτογράφησης, η οποία ονομάστηκε Nitrokod ως ο δράστης πίσω από τη μόλυνση χιλιάδων μηχανών σε 11 χώρες σε έκθεση που δημοσιεύτηκε την Κυριακή.
Το κακόβουλο λογισμικό Crypto miner, γνωστό και ως cryptojackers, είναι ένας τύπος κακόβουλου λογισμικού που εκμεταλλεύεται την υπολογιστική ισχύ των μολυσμένων υπολογιστών για την εξόρυξη κρυπτονομισμάτων.
Η Nitrokod υποδύεται το Google Translate Desktop και άλλο δωρεάν λογισμικό σε ιστότοπους για την εκτόξευση κακόβουλου λογισμικού crypto miner και τη μόλυνση των υπολογιστών. Όταν ανυποψίαστοι χρήστες αναζητούν "Λήψη Google Translate Desktop", ο κακόβουλος σύνδεσμος προς το λογισμικό που έχει μολυνθεί από κακόβουλο λογισμικό εμφανίζεται στην κορυφή των αποτελεσμάτων της Αναζήτησης Google.
Από το 2019, το κακόβουλο λογισμικό λειτουργεί με μια διαδικασία μόλυνσης πολλαπλών σταδίων, ξεκινώντας καθυστερώντας τη μόλυνση της διαδικασίας μόλυνσης μέχρι μερικές εβδομάδες μετά τη λήψη του κακόβουλου συνδέσμου από τους χρήστες. Αφαιρούν επίσης τα ίχνη της αρχικής εγκατάστασης, διατηρώντας το κακόβουλο λογισμικό χωρίς εντοπισμό από προγράμματα προστασίας από ιούς.
«Μόλις ο χρήστης εκκινήσει το νέο λογισμικό, εγκαθίσταται μια πραγματική εφαρμογή Μετάφρασης Google», αναφέρει η αναφορά CPR. Εδώ τα θύματα συναντούν προγράμματα με ρεαλιστική εμφάνιση με πλαίσιο που βασίζεται στο Chromium που κατευθύνει τον χρήστη από την ιστοσελίδα της Μετάφρασης Google και τους εξαπατά να κατεβάσουν την ψεύτικη εφαρμογή.
Στο επόμενο στάδιο, το κακόβουλο λογισμικό προγραμματίζει εργασίες για την εκκαθάριση αρχείων καταγραφής για την κατάργηση σχετικών αρχείων και αποδεικτικών στοιχείων και το επόμενο στάδιο της αλυσίδας μόλυνσης θα συνεχιστεί μετά από 15 ημέρες η προσέγγιση πολλαπλών σταδίων βοηθά το κακόβουλο λογισμικό να αποφύγει τον εντοπισμό σε sandbox που έχουν δημιουργηθεί από ερευνητές ασφαλείας.
«Επιπλέον, απορρίπτεται ένα ενημερωμένο αρχείο, το οποίο ξεκινά μια σειρά τεσσάρων droppers μέχρι το πραγματικός Το κακόβουλο λογισμικό απορρίφθηκε», προστίθεται στην έκθεση CPR.
Με άλλα λόγια, το κακόβουλο λογισμικό ξεκινά μια λειτουργία εξόρυξης κρυπτογράφησης Monero (XMR) κατά την οποία το κακόβουλο λογισμικό "powermanager.exe" πέφτει κρυφά στα μολυσμένα μηχανήματα συνδέοντας στον διακομιστή Command and Control που επιτρέπει στους εγκληματίες του κυβερνοχώρου να δημιουργούν έσοδα από τους χρήστες της εφαρμογής επιφάνειας εργασίας του Google Translate. .
Το Monero είναι το πιο γνωστό κρυπτονόμισμα για cryptojackers και άλλες παράνομες συναλλαγές. Το κρυπτονόμισμα προσφέρει σχεδόν ανωνυμία στους κατόχους του.
Είναι εύκολο να πέσετε θύμα κακόβουλου λογισμικού εξόρυξης κρυπτογράφησης, καθώς απορρίπτονται από λογισμικό που βρίσκεται στην κορυφή των αποτελεσμάτων αναζήτησης Google για νομιμοποιημένες εφαρμογές. Εάν υποψιάζεστε ότι ο υπολογιστής σας έχει μολυνθεί, μπορείτε να βρείτε λεπτομέρειες σχετικά με τον τρόπο ανάκτησης του μολυσμένου υπολογιστή σας βρίσκεται στο τέλος της έκθεσης CPR.
Πηγή: https://cryptoslate.com/crypto-miner-malware-impersonates-google-translate-desktop-other-legitimate-apps/