Израильская компания Check Point Research (CPR), специализирующаяся на анализе киберугроз, разоблачила вредоносную кампанию вредоносного ПО для майнинга криптовалюты, получившую название Nitrokod, как виновника заражения тысяч машин в 11 странах мира. отчет, опубликованный в воскресенье.
Вредоносное ПО для майнинга криптовалюты, также известное как криптоджекеры, представляет собой тип вредоносного ПО, использующего вычислительную мощность зараженных ПК для добычи криптовалюты.
Nitrokod выдавал себя за Google Translate Desktop и другое бесплатное программное обеспечение на веб-сайтах, чтобы запускать вредоносное ПО для криптомайнинга и заражать ПК. Когда ничего не подозревающие пользователи выполняют поиск по запросу «загрузка Google Translate Desktop», вредоносная ссылка на зараженное вредоносным ПО ПО появляется в верхней части результатов поиска Google.
С 2019 года вредоносное ПО использует многоэтапный процесс заражения, начиная с задержки заражения до нескольких недель после того, как пользователи скачают вредоносную ссылку. Они также удаляют следы первоначальной установки, предотвращая обнаружение вредоносных программ антивирусными программами.
«Как только пользователь запускает новое программное обеспечение, устанавливается фактическое приложение Google Translate», — говорится в отчете CPR. Именно здесь жертвы сталкиваются с реалистично выглядящими программами с платформой на основе Chromium, которая направляет пользователя с веб-страницы Google Translate и обманом заставляет его загрузить поддельное приложение.
На следующем этапе вредоносное ПО планирует задачи по очистке журналов для удаления связанных файлов и доказательств, а следующий этап цепочки заражения продолжится через 15 дней. Многоэтапный подход помогает вредоносному ПО избежать обнаружения в песочнице, созданной исследователями безопасности.
«Кроме того, сбрасывается обновленный файл, который запускает серию из четырех дропперов, пока не представить вредоносное ПО удаляется», — говорится в отчете CPR.
Другими словами, вредоносное ПО запускает операцию крипто-майнинга Monero (XMR), в ходе которой вредоносное ПО «powermanager.exe» скрытно загружается на зараженные машины, подключаясь к его серверу управления и контроля, который позволяет киберпреступникам монетизировать пользователей настольного приложения Google Translate. .
Monero — самая известная криптовалюта для криптоджекеров и других незаконных транзакций. Криптовалюта предлагает почти анонимность для своих держателей.
Легко стать жертвой вредоносных программ для майнинга криптовалют, поскольку они удаляются из программного обеспечения, которое находится в верхней части результатов поиска Google для легитимных приложений. Если вы подозреваете, что ваш компьютер заражен, вы можете узнать, как восстановить зараженную машину. можно найти в конце отчета CPR.
Источник: https://cryptoslate.com/crypto-miner-malware-impersonates-google-translate-desktop-other-legitimate-apps/