A Monero Mining malware sikert aratott a Google Keresés tetején

A Google-alkalmazásokat kereső felhasználókat célzó alattomos malware-kampány világszerte számítógépek ezreit fertőzte meg, hogy az adatvédelemre fókuszáló kriptomonero-t (XMR) bányászhassa.

Valószínűleg soha nem hallottál a Nitrokodról. Az izraeli székhelyű kiberhírszerző cég, a Check Point Research (CPR) a múlt hónapban bukkant rá a kártevőre. 

egy vasárnapi beszámoló, a cég szerint a Nitrokod kezdetben ingyenes szoftvernek álcázza magát, és figyelemre méltó sikert ért el a Google keresési eredményeinek élén a „Google Fordító asztali letöltése” kifejezésre.

A cryptojacking néven is ismert bányászati ​​kártevőket legalább 2017 óta használják a gyanútlan felhasználók gépeibe való beszivárgásra, amikor is a kriptográfia népszerűsége mellett azok előtérbe kerültek.

A CPR korábban az XMR-t is bányászó CoinHive nevű, jól ismert kriptográfiai kártevőt észlelt még az év novemberében. A CoinHive állítólag lop A végfelhasználó teljes CPU-erőforrásának 65%-a a tudtuk nélkül. Akadémikusok számított a rosszindulatú program havi 250,000 XNUMX dollárt termelt a csúcson, és ennek nagy része kevesebb, mint egy tucat személyhez jutott.

Ami a Nitrokodot illeti, a CPR úgy véli, hogy egy törökül beszélő entitás telepítette valamikor 2019-ben. Hét szakaszon keresztül működik, miközben halad az úton, hogy elkerülje a tipikus víruskereső programok és a rendszervédelem észlelését. 

"A rosszindulatú program könnyen kidobható a legális alkalmazások Google keresési eredményei között található szoftverekből" - írta jelentésében a cég.

A Softpedia és az Uptodown a hamis alkalmazások két fő forrása. A Blockworks megkereste a Google-t, hogy többet megtudjon arról, hogyan szűri ki az ilyen típusú fenyegetéseket.

Az alkalmazás letöltése után a telepítő végrehajt egy késleltetett droppert, és minden újraindításkor folyamatosan frissíti magát. Az ötödik napon a késleltetett cseppentő kicsomagol egy titkosított fájlt. 

A fájl ezután elindítja a Nitrokod utolsó szakaszát, amely meghatározza a feladatok ütemezését, a naplók törlését és kivételek hozzáadását a víruskereső tűzfalakhoz, miután 15 nap eltelt.

Végül a „powermanager.exe” kripto-bányász kártevőt titokban a fertőzött gépre dobják, és hozzálátnak a titkosítás létrehozásához a nyílt forráskódú Monero-alapú CPU-bányász XMRig segítségével (ugyanaz, amelyet a CoinHive használ).

"A kezdeti szoftvertelepítés után a támadók hetekig késleltették a fertőzési folyamatot, és törölték a nyomokat az eredeti telepítésből" - írta jelentésében a cég. "Ez lehetővé tette, hogy a kampány évekig sikeresen működjön a radar alatt."

A Nitrokoddal fertőzött gépek tisztításának részleteit a a CPR fenyegetésjelentésének vége.

Minden este megkapja a nap legfontosabb kriptográfiai híreit és betekintést a postaládájába. Iratkozzon fel a Blockworks ingyenes hírlevelére most.