- Nitrokod sa v súčasnosti nachádza v hornej časti výsledkov vyhľadávania Google pre obľúbené aplikácie vrátane Prekladača
- Malvér škodoradostne ťaží monero pomocou počítačových zdrojov používateľov, čo odráža kedysi plodný CoinHive
Zákerná malvérová kampaň zameraná na používateľov vyhľadávajúcich aplikácie Google infikovala tisíce počítačov na celom svete, aby ťažili krypto monero (XMR) zamerané na ochranu súkromia.
Pravdepodobne ste nikdy nepočuli o Nitrokode. Izraelská kybernetická spravodajská spoločnosť Check Point Research (CPR) minulý mesiac narazila na malvér.
V správa v nedeľu, firma uviedla, že Nitrokod sa spočiatku maskuje ako slobodný softvér, pričom zaznamenal pozoruhodný úspech v hornej časti výsledkov vyhľadávania Google pre „Google Translate download desktop“.
Ťažobný malvér, známy tiež ako cryptojacking, sa používa na infiltráciu počítačov nič netušiacich používateľov minimálne od roku 2017, kedy sa dostal do popredia popri popularite kryptomien.
CPR predtým v novembri toho roku odhalila známy malvér na kryptojacking CoinHive, ktorý tiež ťažil XMR. O CoinHive sa hovorilo, že kradne 65 % celkových zdrojov CPU koncového používateľa bez ich vedomia. Akademici vypočítaná malvér na svojom vrchole generoval 250,000 XNUMX dolárov mesačne, pričom väčšina z nich pripadala na menej ako tucet jednotlivcov.
Pokiaľ ide o Nitrokod, CPR sa domnieva, že bol nasadený turecky hovoriacou entitou niekedy v roku 2019. Operuje v siedmich fázach, keď sa pohybuje po svojej ceste, aby sa vyhla detekcii typickými antivírusovými programami a systémovými obranami.
„Malvér sa ľahko odstráni zo softvéru, ktorý sa nachádza vo výsledkoch vyhľadávania Google pre legitímne aplikácie,“ napísala firma vo svojej správe.
Zistilo sa, že Softpedia a Uptodown sú dva hlavné zdroje falošných aplikácií. Blockworks oslovil Google, aby sa dozvedel viac o tom, ako filtruje tieto druhy hrozieb.
Po stiahnutí aplikácie inštalátor spustí oneskorený dropper a priebežne sa aktualizuje pri každom reštarte. Na piaty deň oneskorené kvapkadlo extrahuje zašifrovaný súbor.
Súbor potom spustí posledné fázy Nitrokodu, ktoré po uplynutí 15 dní nastavia plánovanie úloh, vymazanie protokolov a pridanie výnimiek do antivírusových firewallov.
Nakoniec, malvér na ťažbu kryptomien „powermanager.exe“ sa tajne pustí na infikovaný stroj a začne generovať krypto pomocou open source procesora XMRig na báze Monero (rovnaký, ktorý používa CoinHive).
„Po počiatočnej inštalácii softvéru útočníci oddialili proces infekcie o týždne a vymazali stopy z pôvodnej inštalácie,“ napísala firma vo svojej správe. "To umožnilo kampani úspešne fungovať pod radarom roky."
Podrobnosti o tom, ako čistiť stroje infikované Nitrokodom, nájdete na koniec správy o hrozbe KPR.
Získajte najlepšie denné kryptografické správy a štatistiky každý večer do svojej schránky. Prihláste sa na odber bezplatného bulletinu Blockworks teraz.
Zdroj: https://blockworks.co/monero-mining-malware-finds-success-at-top-of-google-search/