Το Monero Mining Malware βρίσκει επιτυχία στην κορυφή της Αναζήτησης Google

Μια ύπουλη καμπάνια κακόβουλου λογισμικού που στοχεύει χρήστες που αναζητούν εφαρμογές Google έχει μολύνει χιλιάδες υπολογιστές παγκοσμίως για την εξόρυξη του crypto monero (XMR) που εστιάζεται στο απόρρητο.

Πιθανότατα δεν έχετε ακούσει ποτέ για το Nitrokod. Η εταιρεία πληροφοριών στον κυβερνοχώρο Check Point Research (CPR) με έδρα το Ισραήλ έπεσε πάνω στο κακόβουλο λογισμικό τον περασμένο μήνα. 

Σε αναφορά της Κυριακής, η εταιρεία είπε ότι το Nitrokod αρχικά καλύφθηκε ως ελεύθερο λογισμικό, έχοντας βρει αξιοσημείωτη επιτυχία στην κορυφή των αποτελεσμάτων αναζήτησης Google για τη «Λήψη επιτραπέζιου υπολογιστή Google Translate».

Γνωστό και ως cryptojacking, το κακόβουλο λογισμικό εξόρυξης έχει χρησιμοποιηθεί για να διεισδύσει σε μηχανές ανυποψίαστων χρηστών από τουλάχιστον το 2017, όταν αναδείχθηκαν παράλληλα με τη δημοτικότητα των κρυπτονομισμάτων.

Το CPR εντόπισε στο παρελθόν το γνωστό κακόβουλο λογισμικό κρυπτογράφησης CoinHive, το οποίο εξόρυξε επίσης το XMR, τον Νοέμβριο του ίδιου έτους. Το CoinHive λέγεται ότι έκλεβε 65% των συνολικών πόρων CPU ενός τελικού χρήστη εν αγνοία τους. Ακαδημαϊκοί υπολογίζεται το κακόβουλο λογισμικό παρήγαγε 250,000 $ το μήνα στο αποκορύφωμά του, με το μεγαλύτερο μέρος του να πηγαίνει σε λιγότερα από δώδεκα άτομα.

Όσο για το Nitrokod, η CPR πιστεύει ότι αναπτύχθηκε από μια τουρκόφωνη οντότητα κάποια στιγμή το 2019. Λειτουργεί σε επτά στάδια καθώς κινείται κατά μήκος της πορείας της για να αποφύγει τον εντοπισμό από τυπικά προγράμματα προστασίας από ιούς και άμυνες συστήματος. 

«Το κακόβουλο λογισμικό απορρίπτεται εύκολα από το λογισμικό που βρίσκεται στα κορυφαία αποτελέσματα αναζήτησης της Google για νόμιμες εφαρμογές», έγραψε η εταιρεία στην έκθεσή της.

Το Softpedia και το Uptodown βρέθηκαν να είναι δύο κύριες πηγές ψεύτικων εφαρμογών. Η Blockworks έχει επικοινωνήσει με την Google για να μάθει περισσότερα σχετικά με το πώς φιλτράρει αυτού του είδους τις απειλές.

Μετά τη λήψη της εφαρμογής, ένα πρόγραμμα εγκατάστασης εκτελεί ένα καθυστερημένο σταγονόμετρο και ενημερώνεται συνεχώς σε κάθε επανεκκίνηση. Την πέμπτη ημέρα, το καθυστερημένο σταγονόμετρο εξάγει ένα κρυπτογραφημένο αρχείο. 

Στη συνέχεια, το αρχείο ξεκινά τα τελικά στάδια του Nitrokod, τα οποία αφορούν τον προγραμματισμό εργασιών, την εκκαθάριση αρχείων καταγραφής και την προσθήκη εξαιρέσεων στα τείχη προστασίας προστασίας από ιούς μόλις περάσουν 15 ημέρες.

Τέλος, το κακόβουλο λογισμικό εξόρυξης κρυπτογράφησης «powermanager.exe» απορρίπτεται κρυφά στο μολυσμένο μηχάνημα και ξεκινά τη δημιουργία κρυπτογράφησης χρησιμοποιώντας ανοιχτού κώδικα CPU miner XMRig που βασίζεται σε Monero (το ίδιο που χρησιμοποιεί το CoinHive).

«Μετά την αρχική εγκατάσταση λογισμικού, οι εισβολείς καθυστέρησαν τη διαδικασία μόλυνσης για εβδομάδες και διέγραψαν ίχνη από την αρχική εγκατάσταση», έγραψε η εταιρεία στην έκθεσή της. «Αυτό επέτρεψε στην εκστρατεία να λειτουργήσει με επιτυχία κάτω από το ραντάρ για χρόνια».

Λεπτομέρειες για τον τρόπο καθαρισμού μηχανημάτων που έχουν μολυνθεί με Nitrokod μπορείτε να βρείτε στη διεύθυνση τέλος της έκθεσης απειλών του CPR.

Λάβετε τα κορυφαία νέα και πληροφορίες για τα κρυπτονομίσματα της ημέρας που παραδίδονται στα εισερχόμενά σας κάθε απόγευμα. Εγγραφείτε στο δωρεάν ενημερωτικό δελτίο της Blockworks τώρα.