- يظهر Nitrokod حاليًا في أعلى نتائج بحث Google للتطبيقات الشائعة ، بما في ذلك الترجمة
- تقوم البرامج الضارة بإلغام مونيرو بشكل ضار باستخدام موارد الكمبيوتر الخاصة بالمستخدمين ، مرددة صدى CoinHive الذي كان غزير الإنتاج في السابق
أصابت حملة البرامج الضارة الخبيثة التي تستهدف المستخدمين الذين يبحثون عن تطبيقات Google آلاف أجهزة الكمبيوتر على مستوى العالم لتعدين العملة المشفرة التي تركز على الخصوصية (XMR).
ربما لم تسمع أبدًا عن Nitrokod. عثرت شركة الاستخبارات الإلكترونية تشيك بوينت ريسيرش (CPR) ومقرها إسرائيل على البرنامج الضار الشهر الماضي.
في باقة تقرير يوم الاحد، قالت الشركة إن Nitrokod يخفي نفسه في البداية على أنه برنامج مجاني ، بعد أن حقق نجاحًا ملحوظًا في أعلى نتائج بحث Google عن "تنزيل سطح المكتب من Google Translate".
تُعرف أيضًا باسم cryptojacking ، وقد تم استخدام برامج التعدين الضارة للتسلل إلى أجهزة المستخدمين المطمئنين منذ عام 2017 على الأقل ، عندما برزت إلى جانب شعبية العملات المشفرة.
اكتشف CPR سابقًا برنامج CoinHive الخبيث المعروف جيدًا ، والذي قام أيضًا بتعدين XMR ، في نوفمبر من ذلك العام. قيل أن CoinHive يسرق 65٪ من إجمالي موارد وحدة المعالجة المركزية للمستخدم النهائي بدون علمهم. أكاديميون محسوب كانت البرمجيات الخبيثة تولد 250,000 ألف دولار شهريًا في ذروتها ، وكان الجزء الأكبر منها يذهب إلى أقل من عشرة أفراد.
بالنسبة إلى Nitrokod ، يعتقد CPR أنه تم نشره من قبل كيان ناطق باللغة التركية في وقت ما في عام 2019. وهو يعمل عبر سبع مراحل حيث يتحرك على طول مساره لتجنب الكشف عن برامج مكافحة الفيروسات النموذجية ودفاعات النظام.
وكتبت الشركة في تقريرها: "يتم إسقاط البرامج الضارة بسهولة من البرامج الموجودة في أعلى نتائج بحث Google للتطبيقات الشرعية".
تم العثور على Softpedia و Uptodown على أنهما مصدران رئيسيان للتطبيقات المزيفة. تواصلت Blockworks مع Google لمعرفة المزيد حول كيفية تصفية هذه الأنواع من التهديدات.
بعد تنزيل التطبيق ، يقوم المثبت بتنفيذ قطارة متأخرة ويقوم بتحديث نفسه باستمرار عند كل إعادة تشغيل. في اليوم الخامس ، يقوم القطارة المتأخرة باستخراج ملف مشفر.
يبدأ الملف بعد ذلك المراحل النهائية لـ Nitrokod ، والتي تحدد حول جدولة المهام ، ومسح السجلات وإضافة استثناءات إلى جدران الحماية المضادة للفيروسات بمجرد انقضاء 15 يومًا.
أخيرًا ، يتم إسقاط البرامج الضارة لتعدين العملات المشفرة "powermanager.exe" خلسةً على الجهاز المصاب وتبدأ عملية إنشاء التشفير باستخدام أداة تعدين وحدة المعالجة المركزية (CPU) مفتوحة المصدر المستندة إلى Monero XMRig (نفس البرنامج المستخدم بواسطة CoinHive).
وكتبت الشركة في تقريرها: "بعد التثبيت الأولي للبرنامج ، أخر المهاجمون عملية العدوى لأسابيع وحذفوا الآثار من التثبيت الأصلي". "سمح هذا للحملة بالعمل بنجاح تحت الرادار لسنوات."
يمكن العثور على تفاصيل حول كيفية تنظيف الآلات المصابة بـ Nitrokod على نهاية تقرير تهديد CPR.
احصل على أفضل الأخبار والرؤى المتعلقة بالعملات المشفرة في اليوم إلى صندوق الوارد الخاص بك كل مساء. اشترك في النشرة الإخبارية المجانية من Blockworks الآن.
- إلى البيتكوين
- سلسلة كتلة
- الامتثال blockchain
- بلوكشين المؤتمر
- بلوكوركس
- coinbase
- عملة عبقرية
- إجماع
- مؤتمر تشفير
- والتشفير التعدين
- العملات المشفرة
- Cryptocurrency التعدين
- Cryptojacking
- اللامركزية
- الصدمة
- الأصول الرقمية
- التعليم
- ethereum
- Google بحث
- جوجل ترجمة
- آلة التعلم
- والتعدين البرمجيات الخبيثة
- Monero
- رمز غير قابل للاستبدال
- أفلاطون
- أفلاطون ع
- الذكاء افلاطون البيانات
- بلاتوبلوكشين
- أفلاطون داتا
- بلاتوغمينغ
- المضلع
- إثبات للخطر
- W3
- XMR
- زفيرنت