Złośliwe oprogramowanie do wydobywania Monero odnosi sukces na szczycie wyszukiwarki Google

Podstępna kampania złośliwego oprogramowania, której celem są użytkownicy wyszukujący aplikacje Google, zainfekowała tysiące komputerów na całym świecie, aby wydobywać kryptowalutę (XMR) skoncentrowaną na prywatności.

Prawdopodobnie nigdy nie słyszałeś o Nitrokodzie. Izraelska firma zajmująca się wywiadem cybernetycznym Check Point Research (CPR) natknęła się na złośliwe oprogramowanie w zeszłym miesiącu. 

W raport w niedzielę, firma twierdzi, że Nitrokod początkowo maskuje się jako darmowe oprogramowanie, odnosząc niezwykły sukces na szczycie wyników wyszukiwania Google dla „pobrania Google Translate na komputer”.

Znane również jako cryptojacking, złośliwe oprogramowanie górnicze jest wykorzystywane do infiltracji maszyn niczego niepodejrzewających użytkowników od co najmniej 2017 roku, kiedy to zyskało na znaczeniu wraz z popularnością kryptowalut.

CPR wcześniej wykryło dobrze znane złośliwe oprogramowanie CoinHive, które również wykorzystywało XMR, w listopadzie tego roku. Mówiono, że CoinHive kradnie 65% całkowitych zasobów procesora użytkownika końcowego bez ich wiedzy. Nauczyciele akademiccy obliczony W szczytowym momencie szkodliwe oprogramowanie generowało 250,000 XNUMX USD miesięcznie, z czego większość trafiała do mniej niż tuzina osób.

Jeśli chodzi o Nitrokod, CPR uważa, że ​​został on wdrożony przez podmiot tureckojęzyczny w 2019 r. Działa on w siedmiu etapach, poruszając się po swojej ścieżce, aby uniknąć wykrycia przez typowe programy antywirusowe i systemy obronne. 

„Złośliwe oprogramowanie jest łatwo usuwane z oprogramowania znalezionego w najlepszych wynikach wyszukiwania Google dla legalnych aplikacji” – napisała firma w swoim raporcie.

Stwierdzono, że Softpedia i Uptodown są dwoma głównymi źródłami fałszywych aplikacji. Blockworks skontaktował się z Google, aby dowiedzieć się więcej o tym, jak filtruje tego rodzaju zagrożenia.

Po pobraniu aplikacji instalator uruchamia opóźniony dropper i stale aktualizuje się przy każdym ponownym uruchomieniu. Piątego dnia opóźniony dropper wyodrębnia zaszyfrowany plik. 

Plik następnie inicjuje końcowe etapy Nitrokod, które polegają na planowaniu zadań, usuwaniu dzienników i dodawaniu wyjątków do zapór antywirusowych po upływie 15 dni.

Wreszcie, złośliwe oprogramowanie do wydobywania kryptowalut „powermanager.exe” jest potajemnie wrzucane na zainfekowaną maszynę i rozpoczyna generowanie kryptowalut przy użyciu koparki procesorów XMRig opartej na otwartym kodzie źródłowym Monero (tego samego, którego używa CoinHive).

„Po początkowej instalacji oprogramowania osoby atakujące opóźniały proces infekcji o tygodnie i usuwały ślady z oryginalnej instalacji” – napisała firma w swoim raporcie. „Dzięki temu kampania przez lata z powodzeniem działała pod radarem”.

Szczegóły dotyczące czyszczenia maszyn zainfekowanych Nitrokodem można znaleźć na stronie koniec raportu o zagrożeniu CPR.

Otrzymuj najważniejsze wiadomości i spostrzeżenia dotyczące kryptowalut każdego wieczoru na swoją skrzynkę odbiorczą. Zapisz się do bezpłatnego biuletynu Blockworks teraz.