Зловмисне програмне забезпечення Monero Mining користується успіхом у верхній частині пошуку Google

Підступна кампанія зловмисного програмного забезпечення, націлена на користувачів, які шукають програми Google, заразила тисячі комп’ютерів у всьому світі для видобутку криптомонеро (XMR), орієнтованого на конфіденційність.

Ви напевно ніколи не чули про Нітрокод. Минулого місяця ізраїльська компанія кіберрозвідки Check Point Research (CPR) натрапила на шкідливе програмне забезпечення. 

В звіт у неділю, фірма заявила, що Nitrokod спочатку маскує себе як безкоштовне програмне забезпечення, знайшовши надзвичайний успіх у верхній частині результатів пошуку Google для «завантаження Google Translate для комп’ютера».

Зловмисне програмне забезпечення для майнінгу, також відоме як криптоджекінг, використовувалося для проникнення на комп’ютери користувачів, які нічого не підозрюють, принаймні з 2017 року, коли воно стало популярним разом із популярністю криптовалюти.

У листопаді того ж року CPR раніше виявив відоме зловмисне програмне забезпечення CoinHive, яке також майнило XMR. Казали, що CoinHive краде 65% загальних ресурсів процесора кінцевого користувача без їх відома. Академіки розрахований на піку зловмисне програмне забезпечення генерувало 250,000 XNUMX доларів США на місяць, причому основна частина доходів отримувала менше десятка осіб.

Що стосується Nitrokod, CPR вважає, що він був розгорнутий турецькомовною організацією десь у 2019 році. Він працює в сім етапів, рухаючись уздовж свого шляху, щоб уникнути виявлення типовими антивірусними програмами та засобами захисту системи. 

«Зловмисне програмне забезпечення легко видаляється з програмного забезпечення, яке знаходиться в топі результатів пошуку Google для законних програм», — написала фірма у своєму звіті.

Softpedia та Uptodown виявилися двома основними джерелами підроблених програм. Blockworks звернувся до Google, щоб дізнатися більше про те, як він фільтрує такі загрози.

Після завантаження програми інсталятор виконує відкладений дроппер і постійно оновлюється під час кожного перезапуску. На п’ятий день відкладений дроппер витягує зашифрований файл. 

Після цього файл ініціює завершальні етапи Nitrokod, які включають планування завдань, очищення журналів і додавання винятків для антивірусних брандмауерів після закінчення 15 днів.

Нарешті, зловмисне програмне забезпечення для майнінгу крипто «powermanager.exe» таємно скидається на заражену машину та починає генерувати крипто за допомогою майнера XMRig на базі процесора Monero з відкритим кодом (той самий, що використовується CoinHive).

«Після початкової інсталяції програмного забезпечення зловмисники затримали процес зараження на кілька тижнів і видалили сліди з початкової інсталяції», — написала фірма у своєму звіті. «Це дозволило кампанії успішно працювати поза радаром протягом багатьох років».

Детальну інформацію про те, як очистити машини, заражені нітрокодом, можна знайти на кінець звіту про загрозу СЛР.

Щовечора на вашу скриньку вхідних повідомлень надходять найпопулярніші крипто-новини та ідеї. Підпишіться на безкоштовну розсилку Blockworks зараз.