- Nitrokod는 현재 번역을 포함한 인기 앱의 Google 검색 결과 상단에 표시됩니다.
- 악성코드는 사용자의 컴퓨터 리소스를 사용하여 악의적으로 모네로를 채굴하여 한때 많이 사용되었던 코인하이브(CoinHive)를 반영합니다.
Google 애플리케이션을 검색하는 사용자를 대상으로 하는 교활한 멀웨어 캠페인이 전 세계적으로 수천 대의 컴퓨터를 감염시켜 개인 정보 보호 중심의 암호화 모네로(XMR)를 채굴했습니다.
Nitrokod에 대해 들어본 적이 없을 것입니다. 이스라엘에 기반을 둔 사이버 인텔리전스 회사인 CPR(Check Point Research)은 지난달 이 악성코드를 발견했습니다.
안에 일요일에 보고하다, 회사는 Nitrokod가 처음에 "Google 번역 데스크톱 다운로드"에 대한 Google 검색 결과의 상단에서 놀라운 성공을 발견한 무료 소프트웨어로 위장했다고 말했습니다.
크립토재킹(cryptojacking)이라고도 하는 마이닝 맬웨어는 의심하지 않는 사용자의 컴퓨터에 침투하는 데 사용되었습니다. 이 악성코드는 크립토의 인기와 함께 두각을 나타내기 시작한 2017년부터입니다.
CPR은 이전에 그해 XNUMX월 XMR도 채굴한 잘 알려진 크립토재킹 멀웨어 CoinHive를 탐지했습니다. 코인하이브는 훔쳤다고 한다 최종 사용자의 총 CPU 리소스의 65% 그들의 지식 없이. 아카데믹 계산 된 이 악성코드는 최고조에 달할 때 $250,000를 벌어들이고 있었고 그 대부분은 XNUMX명도 채 되지 않았습니다.
Nitrokod의 경우 CPR은 2019년 언젠가 터키어를 사용하는 기업에 의해 배포된 것으로 보고 있습니다. 일반적인 안티바이러스 프로그램 및 시스템 방어에서 탐지를 피하기 위해 경로를 따라 이동하면서 XNUMX단계에 걸쳐 작동합니다.
이 회사는 보고서에서 "맬웨어는 합법적인 응용 프로그램에 대한 상위 Google 검색 결과에서 발견된 소프트웨어에서 쉽게 제거됩니다."라고 썼습니다.
Softpedia와 Uptodown은 가짜 애플리케이션의 두 가지 주요 소스로 밝혀졌습니다. Blockworks는 이러한 종류의 위협을 필터링하는 방법에 대해 자세히 알아보기 위해 Google에 연락했습니다.
응용 프로그램을 다운로드한 후 설치 프로그램은 지연된 드로퍼를 실행하고 다시 시작할 때마다 지속적으로 업데이트합니다. 다섯 번째 날에는 지연된 드롭퍼가 암호화된 파일을 추출합니다.
그런 다음 파일은 15일이 지나면 작업 예약, 로그 지우기 및 바이러스 백신 방화벽에 예외 추가를 설정하는 Nitrokod의 최종 단계를 시작합니다.
마지막으로 암호화폐 채굴 악성코드 "powermanager.exe"가 감염된 시스템에 은밀히 드롭되고 오픈 소스 Monero 기반 CPU 채굴기 XMRig(CoinHive에서 사용하는 것과 동일)를 사용하여 암호화 생성에 착수합니다.
"초기 소프트웨어 설치 후 공격자는 몇 주 동안 감염 프로세스를 지연시키고 원래 설치에서 흔적을 삭제했습니다."라고 회사는 보고서에 썼습니다. "이를 통해 캠페인은 수년간 레이더 아래에서 성공적으로 작동할 수 있었습니다."
Nitrokod에 감염된 기계를 청소하는 방법에 대한 자세한 내용은 다음에서 찾을 수 있습니다. CPR 위협 보고서 끝.
매일 저녁 받은 편지함으로 전달되는 오늘의 주요 암호화 뉴스와 통찰력을 받으십시오. Blockworks의 무료 뉴스레터 구독 지금.
