Израильская компания Check Point Research (CPR), специализирующаяся на анализе киберугроз, в опубликованном в воскресенье отчете разоблачила вредоносную кампанию по добыче криптовалют под названием Nitrokod как виновника заражения тысяч машин в 11 странах.
Вредоносное ПО Crypto miner, также известное как cryptojackers, - это тип вредоносного ПО, которое использует вычислительную мощность зараженных ПК для добычи криптовалюты.
Nitrokod выдавал себя за Google Translate Desktop и другие бесплатные программы на веб-сайтах, чтобы запустить вредоносное ПО для майнинга криптовалют и заразить ПК. Когда ничего не подозревающие пользователи ищут "Google Translate Desktop скачать", вредоносная ссылка на зараженное вредоносным ПО появляется в верхней части результатов поиска Google.
С 2019 года вредоносная программа работает с многоступенчатым процессом заражения, начиная с задержки процесса заражения до нескольких недель после загрузки пользователями вредоносной ссылки. Они также удаляют следы первоначальной установки, делая вредоносную программу необнаруживаемой антивирусными программами.
"Как только пользователь запускает новое программное обеспечение, устанавливается настоящее приложение Google Translate", - говорится в отчете CPR. В этом случае жертвы сталкиваются с реалистично выглядящими программами с фреймворком на основе Chromium, который направляет пользователя с веб-страницы Google Translate и обманом заставляет его загрузить поддельное приложение".
На следующем этапе вредоносная программа планирует задачи по очистке журналов для удаления связанных файлов и улик, и следующий этап цепочки заражения продолжится через 15 дней Многоступенчатый подход помогает вредоносной программе избежать обнаружения в "песочнице", созданной исследователями безопасности.
"Кроме того, сбрасывается обновленный файл, который запускает серию из четырех дропперов, пока не будет сброшена настоящая вредоносная программа", - добавляется в отчете CPR.
Другими словами, вредоносная программа запускает операцию по добыче криптовалюты Monero (XMR), в ходе которой вредоносное ПО "powermanager.exe" незаметно подбрасывается на зараженные компьютеры, подключаясь к командно-контрольному серверу, что позволяет злоумышленникам монетизировать пользователей настольного приложения Google Translate.
Monero - самая известная криптовалюта для криптоджекеров и других незаконных операций. Эта криптовалюта обеспечивает почти анонимность для своих держателей.
Легко стать жертвой вредоносных программ для майнеров криптовалют, поскольку они выпадают из программного обеспечения, находящегося в верхней части результатов поиска Google для легитимных приложений. Если вы подозреваете, что ваш ПК заражен, подробную информацию о том, как восстановить зараженную машину, можно найти в конце отчета CPR.
Синтия - заядлый писатель, увлеченный потенциалом технологии блокчейн. Она также разделяет ценности Web3, особенно творческое самовыражение и индивидуальную автономию. Открыв для себя криптовалюту в 2019 году, она посвятила свою работу освещению событий в блокчейне и криптовалютном пространстве.