תוכנות זדוניות של כריית קריפטו פולשות במתגנבות למאות אלפי מחשבים ברחבי העולם מאז 2019, ולעתים קרובות מתחזות לתוכנות לגיטימיות כמו Google Translate, כך מצא מחקר חדש.
בדו"ח שני של צ'ק פוינט ריסרץ' (CPR), צוות מחקר של ספקית אבטחת סייבר אמריקאית-ישראלית, צ'ק פוינט טכנולוגיות תוכנה חשפה שהתוכנה הזדונית הייתה טיסה מתחת לרדאר במשך שנים, בין היתר הודות לעיצוב הערמומי שלו, המעכב את התקנת כריית תוכנה זדונית במשך שבועות לאחר הורדת התוכנה הראשונית.
.@_CPresearch_ זיהה א #crypto כורה # תוכנה זדונית קמפיין, שעלול להדביק אלפי מכונות ברחבי העולם. התקיפה זכה לכינוי 'ניטרוקוד', בתחילה נמצאה על ידי צ'ק פוינט XDR. קבלו את הפרטים כאן: https://t.co/MeaLP3nh97 #מטבע קריפטוגרפי #חדשות טכנולוגיה #CyberSec pic.twitter.com/ANoeI7FZ1O
- תוכנת צ'ק פוינט (@CheckPointSW) אוגוסט
מקושרת למפתח תוכנה דובר טורקית שטוען שהוא מציע "תוכנה חינמית ובטוחה", תוכנית התוכנה הזדונית פולשת למחשבים אישיים באמצעות גרסאות שולחניות מזויפות של אפליקציות פופולריות כמו YouTube Music, Google Translate ו-Microsoft Translate.
ברגע שמנגנון משימה מתוזמנת מפעיל את תהליך התקנת תוכנות זדוניות, הוא עובר בהתמדה מספר שלבים על פני מספר ימים, ומסתיים ב- Monero התגנב (XMR) פעולת כריית קריפטו בהקמה.
חברת אבטחת הסייבר אמרה כי כורה הקריפטו הטורקי המכונה 'ניטרוקוד' הדביק מכונות ב-11 מדינות.
לפי החייאה, אתרי הורדת תוכנות פופולריים כמו Softpedia ו-Uptodown היו זמינים זיופים תחת שם המפרסם Nitrokod INC.
חלק מהתוכניות הורדו מאות אלפי פעמים, כמו גרסת שולחן העבודה המזויפת של Google Translate ב-Softpedia, שאפילו קיבלה כמעט אלף ביקורות, עם ציון כוכבים של 9.3 מתוך 10, למרות שאין לגוגל שולחן עבודה רשמי גרסה עבור אותה תוכנית.
לפי צ'ק פוינט טכנולוגיות תוכנה, הצעת גרסת שולחן העבודה של אפליקציות היא חלק מרכזי בהונאה.
לרוב התוכניות המוצעות על ידי Nitrokod אין גרסת שולחן עבודה, מה שהופך את התוכנה המזויפת למושכת למשתמשים שחושבים שמצאו תוכנית לא זמינה בשום מקום אחר.
לדברי מאיה הורוביץ, סגנית נשיא למחקר בצ'ק פוינט תוכנה, הזיופים המכוסים בתוכנות זדוניות זמינים גם "על ידי חיפוש פשוט באינטרנט".
"מה שהכי מעניין אותי היא העובדה שהתוכנה הזדונית כל כך פופולרית, ובכל זאת עברה מתחת לרדאר כל כך הרבה זמן."
נכון לכתיבת שורות אלו, תוכנית החיקוי של Nitrokod Google Translate Desktop נותרה אחת מתוצאות החיפוש העיקריות.
עיצוב עוזר להימנע מזיהוי
קשה במיוחד לזהות את התוכנה הזדונית, שכן אפילו כאשר משתמש משיק את תוכנת הדמה, הם נותרים חכמים יותר, שכן האפליקציות המזויפות יכולות גם לחקות את אותן פונקציות שהאפליקציה הלגיטימית מספקת.
רוב התוכניות של ההאקר נבנות בקלות מדפי האינטרנט הרשמיים תוך שימוש במסגרת מבוססת Chromium, מה שמאפשר להם להפיץ תוכניות פונקציונליות עמוסות בתוכנות זדוניות מבלי לפתח אותן מהיסוד.
מידע נוסף: 8 הונאות קריפטו ערמומיות בטוויטר כרגע
עד כה, למעלה ממאה אלף אנשים ברחבי ישראל, גרמניה, בריטניה, ארצות הברית, סרי לנקה, קפריסין, אוסטרליה, יוון, טורקיה, מונגוליה ופולין נפלו כולם טרף לתוכנה הזדונית.
כדי למנוע הונאה על ידי תוכנה זדונית זו ואחרות דומות לה, הורוביץ, אומר שמספר עצות אבטחה בסיסיות יכולות לעזור להפחית את הסיכון.
"היזהרו מדומיינים דומים, שגיאות כתיב באתרים ושולחי דוא"ל לא מוכרים. הורד תוכנה רק מבעלי אתרים או ספקים מורשים ומוכרים ותוודא שאבטחת נקודות הקצה שלך מעודכנת ומספקת הגנה מקיפה".
מקור: https://cointelegraph.com/news/sneaky-fake-google-translate-app-installs-crypto-miner-on-112-000-pcs