Monero-Mining-Malware findet Erfolg an der Spitze der Google-Suche

Eine heimtückische Malware-Kampagne, die sich an Benutzer richtet, die nach Google-Anwendungen suchen, hat weltweit Tausende von Computern infiziert, um datenschutzorientiertes Crypto Monero (XMR) zu schürfen.

Sie haben wahrscheinlich noch nie von Nitrokod gehört. Das in Israel ansässige Cyber-Geheimdienstunternehmen Check Point Research (CPR) stolperte letzten Monat über die Malware. 

In einer Bericht am Sonntag, sagte die Firma, dass Nitrokod sich zunächst als kostenlose Software maskiert, nachdem es einen bemerkenswerten Erfolg an der Spitze der Google-Suchergebnisse für „Google Translate Desktop Download“ erzielt hatte.

Mining-Malware, auch bekannt als Cryptojacking, wird seit mindestens 2017 verwendet, um die Computer ahnungsloser Benutzer zu infiltrieren, als sie neben der Popularität von Krypto an Bedeutung gewannen.

CPR entdeckte bereits im November desselben Jahres die bekannte Cryptojacking-Malware CoinHive, die auch XMR schürfte. CoinHive soll gestohlen haben 65 % der gesamten CPU-Ressourcen eines Endbenutzers ohne ihr Wissen. Akademiker berechnet Die Malware generierte zu Spitzenzeiten 250,000 US-Dollar pro Monat, wobei der Großteil davon an weniger als ein Dutzend Personen ging.

Was Nitrokod betrifft, so glaubt CPR, dass es irgendwann im Jahr 2019 von einem türkischsprachigen Unternehmen eingesetzt wurde. Es arbeitet auf seinem Weg in sieben Phasen, um die Erkennung durch typische Antivirenprogramme und Systemverteidigungen zu vermeiden. 

„Die Malware lässt sich leicht aus Software löschen, die in den obersten Google-Suchergebnissen für legitime Anwendungen zu finden ist“, schrieb die Firma in ihrem Bericht.

Softpedia und Uptodown erwiesen sich als zwei Hauptquellen für gefälschte Anwendungen. Blockworks hat sich an Google gewandt, um mehr darüber zu erfahren, wie es diese Art von Bedrohungen filtert.

Nach dem Herunterladen der Anwendung führt ein Installationsprogramm einen verzögerten Dropper aus und aktualisiert sich kontinuierlich bei jedem Neustart. Am fünften Tag extrahiert der verzögerte Dropper eine verschlüsselte Datei. 

Die Datei leitet dann die letzten Phasen von Nitrokod ein, in denen Aufgaben geplant, Protokolle gelöscht und Ausnahmen zu Antiviren-Firewalls hinzugefügt werden, sobald 15 Tage vergangen sind.

Schließlich wird die Krypto-Mining-Malware „powermanager.exe“ heimlich auf den infizierten Computer abgelegt und macht sich daran, Krypto mit dem Open-Source-CPU-Miner XMRig auf Monero-Basis (derselbe, der von CoinHive verwendet wird) zu generieren.

„Nach der Erstinstallation der Software verzögerten die Angreifer den Infektionsprozess wochenlang und löschten Spuren der ursprünglichen Installation“, schreibt die Firma in ihrem Bericht. „Dies ermöglichte es der Kampagne, jahrelang erfolgreich unter dem Radar zu operieren.“

Einzelheiten zur Reinigung von mit Nitrokod infizierten Computern finden Sie unter Ende des Bedrohungsberichts von CPR.

Erhalten Sie jeden Abend die wichtigsten Krypto-Nachrichten und -Einblicke des Tages in Ihren Posteingang. Abonnieren Sie den kostenlosen Newsletter von Blockworks . Kontaktieren Sie uns jetzt!