- Nitrokod моментално е прикажан на врвот на резултатите од пребарувањето на Google за популарни апликации, вклучувајќи го и Translate
- Злонамерниот софтвер злонамерно го минира monero користејќи компјутерски ресурси на корисниците, повторувајќи го некогаш плодниот CoinHive
Подмолна кампања за малициозен софтвер, насочена кон корисниците кои бараат апликации на Google, зарази илјадници компјутери на глобално ниво за да се ископа крипто монерот (XMR) фокусиран на приватноста.
Веројатно никогаш не сте слушнале за Nitrokod. Израелската компанија за сајбер разузнавање Check Point Research (CPR) наиде на малициозен софтвер минатиот месец.
Во извештај во недела, компанијата рече дека Nitrokod првично се маскира како слободен софтвер, откако наиде на извонреден успех на врвот на резултатите од пребарувањето на Google за „преземање на десктоп на Google Translate“.
Исто така познат како cryptojacking, малициозен софтвер за рударство се користи за да се инфилтрира во машините на доверливите корисници од најмалку 2017 година, кога тие се искачија на истакнатото место заедно со популарноста на крипто.
CPR претходно откри добро познат малициозен софтвер за криптоџек CoinHive, кој исто така ископуваше XMR, во ноември истата година. Беше кажано дека CoinHive краде 65% од вкупните ресурси на процесорот на крајниот корисник без нивно знаење. Академици пресметува малициозниот софтвер генерирал 250,000 долари месечно на својот врв, а најголемиот дел од нив одел на помалку од десетина поединци.
Што се однесува до Nitrokod, CPR верува дека бил распореден од страна на ентитет што зборува турски некаде во 2019 година. Работи низ седум фази додека се движи по својот пат за да избегне откривање од типични антивирусни програми и системска одбрана.
„Злонамерниот софтвер лесно се исфрла од софтверот што се наоѓа на врвните резултати од пребарувањето на Google за легитимни апликации“, напиша компанијата во својот извештај.
Откриено е дека Softpedia и Uptodown се два главни извори на лажни апликации. Blockworks се обрати до Google за да дознае повеќе за тоа како ги филтрира овие видови закани.
По преземањето на апликацијата, инсталерот извршува задоцнет dropper и постојано се ажурира при секое рестартирање. На петтиот ден, одложениот dropper извлекува шифрирана датотека.
Датотеката потоа ги иницира последните фази на Nitrokod, кои се однесуваат на закажување задачи, чистење логови и додавање исклучоци на антивирусните огнени ѕидови откако ќе поминат 15 дена.
Конечно, малициозен софтвер за рударство на крипто „powermanager.exe“ е прикриено фрлен на заразената машина и започнува да генерира крипто со помош на минерот XMRig на процесорот базиран на Monero со отворен код (истиот што го користи CoinHive).
„По првичната инсталација на софтверот, напаѓачите го одложија процесот на инфекција со недели и ги избришаа трагите од оригиналната инсталација“, напиша компанијата во својот извештај. „Ова овозможи кампањата успешно да работи под радарот со години“.
Детали за тоа како да се исчистат машините заразени со Nitrokod може да се најдат на крајот на извештајот за закана на CPR.
Добијте ги најдобрите вести и увиди за крипто на денот доставени до вашето сандаче секоја вечер. Претплатете се на бесплатниот билтен на Blockworks сега.
Извор: https://blockworks.co/monero-mining-malware-finds-success-at-top-of-google-search/