חברת מודיעין איומי סייבר, שבסיסה ישראלית, צ'ק פוינט מחקר (CPR) חשפה מסע פרסום זדוני של כריית קריפטו, המכונה Nitrokod כמבצעת ההדבקה של אלפי מכונות ב-11 מדינות. דו"ח שפורסם ביום ראשון.
תוכנה זדונית של כורה קריפטו, הידועה גם בשם cryptojackers, היא סוג של תוכנה זדונית המנצלת את כוח המחשוב של מחשבים נגועים כדי לכרות מטבעות קריפטוגרפיים.
Nitrokod התחזה ל-Google Translate Desktop ותוכנות חינמיות אחרות באתרי אינטרנט כדי להשיק תוכנות זדוניות של כורה קריפטו ולהדביק מחשבים אישיים. כאשר משתמשים תמימים מחפשים "הורדה של Google Translate Desktop", הקישור הזדוני לתוכנה הנגועה בתוכנה זדונית מופיע בראש תוצאות החיפוש של Google.
מאז 2019, התוכנה הזדונית פועלת בתהליך הדבקה רב-שלבי, שמתחיל בדחיית זיהום תהליך ההדבקה עד כמה שבועות לאחר הורדת הקישור הזדוני של המשתמשים. הם גם מסירים עקבות של ההתקנה המקורית, ושומרים על תוכנות אנטי-וירוס נקיות מזיהוי תוכנות זדוניות.
"ברגע שהמשתמש משיק את התוכנה החדשה, מותקן אפליקציית Google Translate בפועל", נכתב בדוח החייאה. זה המקום שבו קורבנות נתקלים בתוכניות בעלות מראה מציאותי עם מסגרת מבוססת Chromium שמכוונת את המשתמש מדף האינטרנט של Google Translate ומערימה אותו להוריד את היישום המזויף.
בשלב הבא, התוכנה הזדונית מתזמנת משימות לנקות יומנים להסרת קבצים קשורים והוכחות, והשלב הבא של שרשרת ההדבקה ימשיך לאחר 15 יום גישה רב-שלבית עוזרת לתוכנה הזדונית להימנע מגילוי בארגז חול שהוגדר על ידי חוקרי אבטחה.
"בנוסף, נשמט קובץ מעודכן, שמתחיל סדרה של ארבעה טפטופים עד ל- ממשי תוכנה זדונית ירדה", הוסיף דו"ח החייאה.
במילים אחרות, התוכנה הזדונית מתחילה פעולת כריית קריפטו של Monero (XMR) לפיה התוכנה הזדונית "powermanager.exe" מונחת בגניבה למכונות הנגועים על ידי התחברות לשרת הפקודה והבקרה שלה המאפשרת לפושעי סייבר לייצר רווח ממשתמשים באפליקציית שולחן העבודה של Google Translate .
Monero הוא המטבע הקריפטו המוכר ביותר עבור חוטבי קריפטו ועסקאות בלתי חוקיות אחרות. המטבע הקריפטו מציע כמעט אנונימיות למחזיקיו.
קל ליפול קורבן לתוכנות זדוניות של כורי קריפטו מכיוון שהם נשמטים מתוכנה שנמצאת בראש תוצאות החיפוש של Google עבור יישומים בעלי לגיטימציה. אם אתה חושד שהמחשב שלך נגוע, פרטים על איך לשחזר את המחשב הנגוע שלך יכולים נמצא בסוף דוח החייאה.
מקור: https://cryptoslate.com/crypto-miner-malware-impersonates-google-translate-desktop-other-legitimate-apps/