Det israelske-baserede efterretningsfirma for cybertrusler, Check Point Research (CPR) afslørede en ondsindet kampagne for crypto-mining-malware, der kaldes Nitrokod som gerningsmanden bag infektionen af tusindvis af maskiner i 11 lande i en rapport offentliggjort søndag.
Crypto-miner-malware, også kendt som cryptojackers, er en type malware, der udnytter computerkraften fra inficerede pc'er til at udvinde cryptocurrency.
Nitrokod har efterlignet Google Translate Desktop og anden gratis software på websteder for at lancere crypto miner malware og inficere pc'er. Når intetanende brugere søger efter "Google Translate Desktop download", vises det ondsindede link til den malware-inficerede software øverst i Googles søgeresultater.
Siden 2019 har malwaren fungeret med en flertrins infektionsproces, der starter med at forsinke kontaminering af infektionsprocessen indtil et par uger efter, at brugerne har downloadet det ondsindede link. De fjerner også spor af den originale installation, hvilket holder malware-fri fra opdagelse af antivirusprogrammer.
"Når brugeren lancerer den nye software, er en egentlig Google Oversæt-applikation installeret," lød CPR-rapporten. Det er her, ofre støder på programmer med et realistisk udseende med en Chromium-baseret ramme, der leder brugeren fra Google Translate-websiden og narre dem til at downloade den falske applikation.
I det næste trin planlægger malwaren opgaver til at rydde logfiler for at fjerne relaterede filer og beviser, og næste fase af infektionskæden vil fortsætte efter 15 dage, flertrinstilgang hjælper malwaren med at undgå at blive opdaget i en sandkasse, der er sat op af sikkerhedsforskere.
“Derudover droppes en opdateret fil, som starter en serie på fire droppere indtil den faktiske malware er droppet," tilføjede CPR-rapporten.
Med andre ord starter malwaren en Monero (XMR) crypto-mining-operation, hvorved malwaren "powermanager.exe" snigende slippes ind i de inficerede maskiner ved at oprette forbindelse til dens kommando- og kontrolserver, der gør det muligt for cyberkriminelle at tjene penge på brugere af Google Translates desktop-app. .
Monero er den bedst kendte kryptovaluta til kryptojackers og andre ulovlige transaktioner. Kryptovalutaen tilbyder næsten anonymitet for sine indehavere.
Det er nemt at blive offer for crypto-miner-malware, da de bliver droppet fra software, der findes øverst i Googles søgeresultater for legitimerede applikationer. Hvis du har mistanke om, at din pc er inficeret, kan detaljer om, hvordan du genopretter din inficerede maskine findes sidst i CPR-rapporten.
Kilde: https://cryptoslate.com/crypto-miner-malware-impersonates-google-translate-desktop-other-legitimate-apps/