Det israelske etterretningsfirmaet Check Point Research (CPR) avslørte en ondsinnet kryptogruve-malwarekampanje kalt Nitrokod som gjerningsmannen bak infeksjonen av tusenvis av maskiner i 11 land i en rapport publisert søndag.
Crypto miner malware, også kjent som cryptojackers, er en type skadelig programvare som utnytter datakraften til infiserte PC-er for å utvinne kryptovaluta.
Nitrokod har etterlignet Google Translate Desktop og annen gratis programvare på nettsteder for å lansere crypto miner malware og infisere PC-er. Når intetanende brukere søker etter «Google Translate Desktop-nedlasting», vises den ondsinnede koblingen til den skadelig programvareinfiserte programvaren øverst i Googles søkeresultater.
Siden 2019 har skadelig programvare operert med en flertrinns infeksjonsprosess, og startet med å utsette kontaminering av infeksjonsprosessen til noen uker etter at brukerne lastet ned den ondsinnede koblingen. De fjerner også spor etter den opprinnelige installasjonen, og holder skadelig programvare fri fra oppdagelse av antivirusprogrammer.
«Når brukeren lanserer den nye programvaren, er en faktisk Google Translate-applikasjon installert», sto det i HLR-rapporten. Det er her ofrene møter programmer med et realistisk utseende med et Chromium-basert rammeverk som leder brukeren fra Google Translate-nettsiden og lurer dem til å laste ned den falske applikasjonen.
I det neste trinnet planlegger skadelig programvare oppgaver for å tømme logger for å fjerne relaterte filer og bevis, og neste trinn i infeksjonskjeden vil fortsette etter 15 dager flertrinns tilnærming hjelper skadevaren å unngå å bli oppdaget i en sandkasse satt opp av sikkerhetsforskere.
"I tillegg slippes en oppdatert fil, som starter en serie på fire droppere til faktiske skadelig programvare er droppet," la HLR-rapporten til.
Med andre ord starter skadelig programvare en Monero (XMR) krypto-mining-operasjon der skadelig programvare "powermanager.exe" snikt slippes ned i de infiserte maskinene ved å koble til kommando- og kontrollserveren som gjør det mulig for nettkriminelle å tjene penger på brukere av Google Translates skrivebordsapp. .
Monero er den mest kjente kryptovalutaen for kryptojackere og andre ulovlige transaksjoner. Kryptovalutaen tilbyr nesten anonymitet for sine innehavere.
Det er lett å bli offer for crypto miner malware siden de blir droppet fra programvare som finnes på toppen av Googles søkeresultater for legitimerte applikasjoner. Hvis du mistenker at PC-en din er infisert, kan detaljer om hvordan du gjenoppretter den infiserte maskinen finnes på slutten av HLR-rapporten.
Kilde: https://cryptoslate.com/crypto-miner-malware-impersonates-google-translate-desktop-other-legitimate-apps/