Programul malware Monero Mining găsește succes în partea de sus a Căutării Google

O campanie de programe malware insidioase care vizează utilizatorii care caută aplicații Google a infectat mii de computere la nivel global pentru a extrage crypto monero (XMR) axat pe confidențialitate.

Probabil că nu ai auzit niciodată de Nitrokod. Firma israeliană de informații cibernetice Check Point Research (CPR) a dat peste malware luna trecută. 

Într-o raport duminică, compania a spus că Nitrokod se maschează inițial ca un software gratuit, având un succes remarcabil în fruntea rezultatelor căutării Google pentru „Descărcare pe desktop Google Translate”.

Cunoscut și sub denumirea de cryptojacking, programul malware de mining a fost folosit pentru a se infiltra în mașinile utilizatorilor nebănuiți din cel puțin 2017, când au devenit proeminente alături de popularitatea cripto.

CPR a detectat anterior binecunoscutul malware de criptojacking CoinHive, care a extras și XMR, în noiembrie a acelui an. Se spunea că CoinHive fură 65% din totalul resurselor CPU ale unui utilizator final fără știrea lor. Academicieni calculată malware-ul genera 250,000 de dolari pe lună la apogeu, cea mai mare parte fiind destinată mai puțin de o duzină de persoane.

În ceea ce privește Nitrokod, CPR crede că a fost implementat de o entitate vorbitoare de limba turcă cândva în 2019. Acesta funcționează în șapte etape, pe măsură ce se deplasează pe calea sa pentru a evita detectarea din programele antivirus tipice și apărarea sistemului. 

„Malware-ul este ușor eliminat din software-ul găsit în primele rezultate ale căutării Google pentru aplicații legitime”, a scris firma în raportul său.

Softpedia și Uptodown s-au dovedit a fi două surse majore de aplicații false. Blockworks a contactat Google pentru a afla mai multe despre modul în care filtrează aceste tipuri de amenințări.

După descărcarea aplicației, un program de instalare execută un dropper întârziat și se actualizează continuu la fiecare repornire. În a cincea zi, dropperul întârziat extrage un fișier criptat. 

Fișierul inițiază apoi etapele finale ale Nitrokod, care se referă la programarea sarcinilor, ștergerea jurnalelor și adăugarea de excepții la firewall-urile antivirus după ce au trecut 15 zile.

În cele din urmă, programul malware de exploatare criptografică „powermanager.exe” este aruncat în mod secret pe mașina infectată și se apucă să genereze criptografii utilizând procesorul miner XMRig bazat pe Monero (același folosit de CoinHive).

„După instalarea inițială a software-ului, atacatorii au întârziat procesul de infecție timp de săptămâni și au șters urmele din instalarea originală”, a scris firma în raportul său. „Acest lucru a permis campaniei să funcționeze cu succes sub radar ani de zile.”

Detalii despre cum să curățați mașinile infectate cu Nitrokod pot fi găsite la sfârșitul raportului de amenințare al CPR.

Primiți în căsuța dvs. de e-mail cele mai bune știri și informații despre criptomonede ale zilei în fiecare seară. Abonați-vă la buletinul informativ gratuit al Blockworks acum.