Monero Mining -haittaohjelma löytää menestystä Google-haun yläosassa

Salakavala haittaohjelmakampanja, joka on kohdistettu Google-sovelluksia etsiville käyttäjille, on tartuttanut tuhansia tietokoneita maailmanlaajuisesti louhimaan yksityisyyteen keskittyvää kryptomoneroa (XMR).

Et ole luultavasti koskaan kuullut Nitrokodista. Israelilainen kybertiedusteluyritys Check Point Research (CPR) törmäsi haittaohjelmaan viime kuussa. 

Jonkin sisällä raportti sunnuntaina, yritys sanoi, että Nitrokod naamioituu alun perin ilmaisena ohjelmistona, sillä se on saavuttanut huomattavaa menestystä Google-hakutulosten kärjessä "Google Translate -työpöytälataukselle".

Kaivoshaittaohjelmia, jotka tunnetaan myös nimellä kryptojacking, on käytetty tunkeutumaan pahaa-aavistamattomien käyttäjien koneisiin ainakin vuodesta 2017 lähtien, jolloin ne nousivat tunnetuksi krypton suosion rinnalla.

CPR havaitsi aiemmin saman vuoden marraskuussa tunnetun kryptojakkihaittaohjelman CoinHive, joka louhi myös XMR:ää. CoinHiven kerrottiin varastavan 65 % loppukäyttäjän kokonaisprosessoriresursseista heidän tietämättään. Akateemikot laskettu haittaohjelma tuotti 250,000 XNUMX dollaria kuukaudessa huipussaan, ja suurin osa siitä meni alle tusinalle henkilölle.

Mitä tulee Nitrokodiin, CPR uskoo, että turkinkielinen taho otti sen käyttöön joskus vuonna 2019. Se toimii seitsemässä vaiheessa, kun se liikkuu polullaan välttääkseen havaitsemisen tyypillisistä virustorjuntaohjelmista ja järjestelmän suojauksista. 

"Haittaohjelma pudotetaan helposti ohjelmistoista, jotka löytyvät Googlen suosituimmista hakutuloksista laillisille sovelluksille", yritys kirjoittaa raportissaan.

Softpedia ja Uptodown havaittiin kahdeksi suurimmaksi väärennössovellusten lähteeksi. Blockworks on ottanut yhteyttä Googleen saadakseen lisätietoja siitä, kuinka se suodattaa tällaisia ​​uhkia.

Sovelluksen lataamisen jälkeen asennusohjelma suorittaa viivästetyn dropperin ja päivittää itsensä jatkuvasti jokaisen uudelleenkäynnistyksen yhteydessä. Viidentenä päivänä viivästetty dropper purkaa salatun tiedoston. 

Tiedosto käynnistää sitten Nitrokodin viimeiset vaiheet, jotka koskevat tehtävien ajoittamista, lokien tyhjentämistä ja poikkeuksien lisäämistä virustentorjuntapalomuuriin 15 päivän kuluttua.

Lopuksi salauksen louhintahaittaohjelma "powermanager.exe" pudotetaan salakavalasti tartunnan saaneelle koneelle ja se ryhtyy luomaan kryptoa avoimen lähdekoodin Monero-pohjaisella CPU-kaivostyökalulla XMRig (sama, jota CoinHive käyttää).

"Alkuperäisen ohjelmistoasennuksen jälkeen hyökkääjät viivyttelivät tartuntaprosessia viikkoja ja poistivat jälkiä alkuperäisestä asennuksesta", yritys kirjoitti raportissaan. "Tämän ansiosta kampanja toimi menestyksekkäästi tutkan alla vuosia."

Lisätietoja Nitrokod-tartunnan saaneiden koneiden puhdistamisesta löytyy osoitteesta CPR:n uhkaraportin lopussa.

Saat päivän tärkeimmät kryptouutiset ja oivallukset postilaatikkoosi joka ilta. Tilaa Blockworksin ilmainen uutiskirje nyt.