Ізраїльська компанія з розвідки кіберзагроз Check Point Research (CPR) викрила кампанію зловмисного програмного забезпечення для майнінгу криптовалют під назвою Nitrokod як зловмисника, що стоїть за зараженням тисяч машин в 11 країнах у звіт, опублікований у неділю.
Зловмисне програмне забезпечення Crypto miner, також відоме як cryptojackers, є типом шкідливого програмного забезпечення, яке використовує обчислювальну потужність заражених ПК для видобутку криптовалюти.
Nitrokod видає себе за Google Translate Desktop та інше безкоштовне програмне забезпечення на веб-сайтах, щоб запускати зловмисне програмне забезпечення для майнерів криптовалют і заражати ПК. Коли нічого не підозрюють користувачі шукають «Завантажити Google Translate Desktop», зловмисне посилання на інфіковане програмним забезпеченням з’являється у верхній частині результатів пошуку Google.
З 2019 року зловмисне програмне забезпечення працює за допомогою багатоетапного процесу зараження, починаючи із затримки зараження процесу зараження до кількох тижнів після того, як користувачі завантажать шкідливе посилання. Вони також видаляють сліди оригінальної інсталяції, запобігаючи виявленню шкідливих програм антивірусними програмами.
«Як тільки користувач запускає нове програмне забезпечення, фактично встановлюється додаток Google Translate», — йдеться у звіті CPR. Саме тут жертви стикаються з реалістично виглядаючими програмами з фреймворком на основі Chromium, які спрямовують користувача з веб-сторінки Google Translate і обманом змушують завантажити підроблену програму.
На наступному етапі зловмисне програмне забезпечення планує завдання з очищення журналів для видалення пов’язаних файлів і доказів, а наступний етап ланцюга зараження продовжиться через 15 днів. Багатоетапний підхід допомагає зловмисному програмному забезпеченню уникнути виявлення в пісочниці, створеній дослідниками безпеки.
«Крім того, скидається оновлений файл, який починає серію з чотирьох дропперів до фактичний зловмисне програмне забезпечення видалено», – додається у звіті CPR.
Іншими словами, зловмисне програмне забезпечення запускає операцію криптомайнінгу Monero (XMR), за допомогою якої зловмисне програмне забезпечення “powermanager.exe” непомітно потрапляє на заражені комп’ютери шляхом підключення до його сервера керування та керування, що дозволяє кіберзлочинцям монетизувати користувачів настільної програми Google Translate. .
Monero — це найвідоміша криптовалюта для криптоджекерів та інших незаконних операцій. Криптовалюта забезпечує майже анонімність для своїх власників.
Легко стати жертвою зловмисного програмного забезпечення криптомайнера, оскільки воно видаляється з програмного забезпечення, яке відображається у верхній частині результатів пошуку Google для легітимованих програм. Якщо ви підозрюєте, що ваш комп’ютер заражений, ознайомтеся з докладною інформацією про те, як відновити заражену машину можна знайти в кінці звіту про СЛР.
Джерело: https://cryptoslate.com/crypto-miner-malware-impersonates-google-translate-desktop-other-legitimate-apps/