- Nitrokod pašlaik ir redzams Google meklēšanas rezultātu augšdaļā populārām lietotnēm, tostarp tulkotājam
- Ļaunprātīga programmatūra ļaunprātīgi iegūst monero, izmantojot lietotāju datora resursus, atbalsojot kādreiz produktīvo CoinHive.
Mānīga ļaunprātīgas programmatūras kampaņa, kuras mērķauditorija ir lietotāji, kuri meklē Google lietojumprogrammas, ir inficējusi tūkstošiem datoru visā pasaulē, lai iegūtu uz privātumu vērstu šifrēšanas monero (XMR).
Jūs droši vien nekad neesat dzirdējuši par Nitrokod. Izraēlā bāzētais kiberizlūkošanas uzņēmums Check Point Research (CPR) pagājušajā mēnesī paklupa uz ļaunprogrammatūru.
Jo ziņojums svētdien, uzņēmums teica, ka Nitrokod sākotnēji maskējas kā bezmaksas programmatūra, jo Google meklēšanas rezultātu augšdaļā ir atradis ievērojamus panākumus “Google Translate darbvirsmas lejupielādei”.
Zināms arī kā kriptogrāfiju izstrādne, ļaundabīgo programmu ieguve ir izmantota, lai iefiltrētos nenojaušo lietotāju iekārtās vismaz kopš 2017. gada, kad tās ieguva ievērojamu vietu līdzās kriptovalūtu popularitātei.
CPR iepriekš tā gada novembrī atklāja labi zināmo kriptovalūtu ļaunprātīgu programmatūru CoinHive, kas arī ieguva XMR. Tika teikts, ka CoinHive zog 65% no gala lietotāja kopējiem CPU resursiem bez viņu ziņas. Akadēmiķi aprēķināts Ļaunprātīga programmatūra sasniedza maksimumu mēnesī 250,000 XNUMX USD, un lielāko daļu no tā saņēma mazāk nekā ducis cilvēku.
Kas attiecas uz Nitrokod, CPR uzskata, ka to izvietoja turku valodā runājoša organizācija 2019. gadā. Tas darbojas septiņos posmos, virzoties pa savu ceļu, lai izvairītos no atklāšanas no tipiskām pretvīrusu programmām un sistēmas aizsardzības līdzekļiem.
"Ļaunprātīga programmatūra ir viegli izmesta no programmatūras, kas atrodama Google meklēšanas rezultātos, lai atrastu likumīgas lietojumprogrammas," savā ziņojumā rakstīja uzņēmums.
Tika konstatēts, ka Softpedia un Uptodown ir divi galvenie viltotu lietojumprogrammu avoti. Uzņēmums Blockworks ir sazinājies ar Google, lai uzzinātu vairāk par to, kā tas filtrē šāda veida draudus.
Pēc lietojumprogrammas lejupielādes instalētājs izpilda aizkavētu pilinātāju un nepārtraukti atjaunina sevi katrā restartēšanas reizē. Piektajā dienā aizkavētais pilinātājs izvelk šifrētu failu.
Pēc tam fails sāk Nitrokod pēdējo posmu, kas nosaka uzdevumu plānošanu, žurnālu dzēšanu un izņēmumu pievienošanu pretvīrusu ugunsmūriem, kad ir pagājušas 15 dienas.
Visbeidzot, kriptoraktu ieguves ļaunprogrammatūra “powermanager.exe” tiek slepeni iemesta inficētajā mašīnā un sāk ģenerēt kriptovalūtu, izmantojot atvērtā koda Monero bāzes CPU kalnraču XMRig (to pašu, ko izmanto CoinHive).
"Pēc sākotnējās programmatūras instalēšanas uzbrucēji aizkavēja inficēšanās procesu nedēļām un izdzēsa pēdas no sākotnējās instalācijas," savā ziņojumā rakstīja uzņēmums. "Tas ļāva kampaņai veiksmīgi darboties zem radara gadiem ilgi."
Sīkāku informāciju par to, kā tīrīt ar Nitrokod inficētas iekārtas, var atrast vietnē CPR draudu ziņojuma beigas.
Saņemiet dienas populārākās kriptovalūtas ziņas un ieskatus, kas katru vakaru tiek piegādāti jūsu iesūtnē. Abonējiet Blockworks bezmaksas biļetenu tagad.
Avots: https://blockworks.co/monero-mining-malware-finds-success-at-top-of-google-search/