Nový výskum zistil, že malvér na ťažbu kryptomien od roku 2019 tajne napáda státisíce počítačov po celom svete a často sa vydáva za legitímne programy, ako je Google Translate.
V pondelkovej správe Check Point Research (CPR), výskumného tímu pre americko-izraelského poskytovateľa kybernetickej bezpečnosti, Check Point Software Technologies odhalil, že malvér bol lietanie pod radarom už roky, čiastočne vďaka svojmu zákernému dizajnu, ktorý oneskoruje inštaláciu kryptografické ťažby malvér niekoľko týždňov po prvom stiahnutí softvéru.
.@_CPResearch_ detekovaný a #crypto baník #malvér kampaň, ktorá potenciálne infikovala tisíce strojov na celom svete. Útok s názvom „Nitrokod“ pôvodne našiel Check Point XDR. Podrobnosti získate tu: https://t.co/MeaLP3nh97 #kryptomena #TechnologyNews #CyberSec pic.twitter.com/ANoeI7FZ1O
— Check Point Software (@CheckPointSW) Augusta 29, 2022
Malvér, ktorý je prepojený s turecky hovoriacim vývojárom softvéru, ktorý tvrdí, že ponúka „bezplatný a bezpečný softvér“, napáda počítače prostredníctvom falošných počítačových verzií populárnych aplikácií, ako sú YouTube Music, Google Translate a Microsoft Translate.
Akonáhle mechanizmus naplánovanej úlohy spustí proces inštalácie škodlivého softvéru, postupne prechádza niekoľkými krokmi počas niekoľkých dní, ktoré končia tajným Monero (XMR) zavádza sa operácia ťažby kryptomien.
Spoločnosť zaoberajúca sa kybernetickou bezpečnosťou uviedla, že turecký baník kryptomien s názvom „Nitrokod“ infikoval stroje v 11 krajinách.
Podľa CPR mali populárne stránky na sťahovanie softvéru, ako sú Softpedia a Uptodown, dostupné falzifikáty pod názvom Nitrokod INC.
Niektoré z programov boli stiahnuté stovky tisíckrát, ako napríklad falošná počítačová verzia Google Translate na Softpedii, ktorá mala dokonca takmer tisíc recenzií s priemerným hodnotením 9.3 z 10, a to aj napriek tomu, že Google nemá oficiálnu pracovnú plochu. verziu pre daný program.
Podľa Check Point Software Technologies je kľúčovou súčasťou podvodu ponúkanie desktopových verzií aplikácií.
Väčšina programov ponúkaných spoločnosťou Nitrokod nemá verziu pre stolné počítače, vďaka čomu je falošný softvér príťažlivý pre používateľov, ktorí si myslia, že našli program nedostupný nikde inde.
Podľa Mayy Horowitzovej, viceprezidentky pre výskum v Check Point Software, sú falzifikáty plné škodlivého softvéru dostupné aj „jednoduchým vyhľadávaním na webe“.
"Čo je pre mňa najzaujímavejšie, je skutočnosť, že škodlivý softvér je taký populárny, no napriek tomu bol tak dlho pod radarom."
V čase písania zostáva jedným z hlavných výsledkov vyhľadávania imitácia programu Google Translate Desktop od spoločnosti Nitrokod.
Dizajn pomáha vyhnúť sa detekcii
Zistenie malvéru je obzvlášť zložité, pretože aj keď používateľ spustí falošný softvér, nezostane o nič múdrejší, pretože falošné aplikácie môžu napodobňovať rovnaké funkcie, ktoré poskytuje legitímna aplikácia.
Väčšina hackerských programov sa dá ľahko zostaviť z oficiálnych webových stránok pomocou rámca založeného na prehliadači Chromium, ktorý im umožňuje šíriť funkčné programy nabité malvérom bez toho, aby ich vyvíjali od základov.
Súvisiace: 8 záludných kryptografických podvodov na Twitteri práve teraz
Doteraz sa malvéru stalo obeťou viac ako stotisíc ľudí v Izraeli, Nemecku, Spojenom kráľovstve, Spojených štátoch, Srí Lanke, Cypre, Austrálii, Grécku, Turecku, Mongolsku a Poľsku.
Horowitz hovorí, že niekoľko základných bezpečnostných tipov môže pomôcť znížiť riziko, aby ste sa vyhli podvádzaniu týmto škodlivým softvérom a jemu podobnými.
„Dajte si pozor na podobné domény, pravopisné chyby na webových stránkach a neznámych odosielateľov e-mailov. Softvér sťahujte iba od autorizovaných, známych vydavateľov alebo predajcov a zaistite, aby bolo zabezpečenie vášho koncového bodu aktuálne a poskytovalo komplexnú ochranu.“
Zdroj: https://cointelegraph.com/news/sneaky-fake-google-translate-app-installs-crypto-miner-on-112-000-pcs