La società israeliana di intelligence sulle minacce informatiche Check Point Research (CPR) ha smascherato una campagna di malware dannoso per il mining di criptovalute soprannominata Nitrokod come l'autore dietro l'infezione di migliaia di macchine in 11 paesi in un rapporto pubblicato domenica.
Il malware Crypto Miner, noto anche come cryptojacker, è un tipo di malware che sfrutta la potenza di calcolo dei PC infetti per estrarre criptovaluta.
Nitrokod ha impersonato Google Translate Desktop e altri software gratuiti sui siti Web per lanciare malware crypto miner e infettare i PC. Quando utenti ignari cercano "download di Google Translate Desktop", il collegamento dannoso al software infetto da malware viene visualizzato nella parte superiore dei risultati di Ricerca Google.
Dal 2019, il malware opera con un processo di infezione in più fasi, iniziando ritardando la contaminazione del processo di infezione fino a poche settimane dopo che gli utenti hanno scaricato il collegamento dannoso. Rimuovono anche le tracce dell'installazione originale, mantenendo il malware libero dal rilevamento da parte dei programmi antivirus.
"Una volta che l'utente avvia il nuovo software, viene installata una vera e propria applicazione Google Translate", si legge nel rapporto CPR. È qui che le vittime incontrano programmi dall'aspetto realistico con un framework basato su Chromium che indirizza l'utente dalla pagina Web di Google Translate e lo induce a scaricare l'applicazione falsa.
Nella fase successiva, il malware pianifica le attività per cancellare i registri per rimuovere i file e le prove correlati e la fase successiva della catena di infezione continuerà dopo 15 giorni. L'approccio a più fasi aiuta il malware a evitare di essere rilevato in una sandbox creata dai ricercatori di sicurezza.
“Inoltre, viene eliminato un file aggiornato, che avvia una serie di quattro contagocce fino al presenti il malware viene eliminato", ha aggiunto il rapporto CPR.
In altre parole, il malware avvia un'operazione di mining di criptovalute Monero (XMR) in base alla quale il malware "powermanager.exe" viene rilasciato di nascosto nelle macchine infette collegandosi al suo server Command and Control che consente ai criminali informatici di monetizzare gli utenti dell'app desktop di Google Translate .
Monero è la criptovaluta più nota per i cryptojacker e altre transazioni illecite. La criptovaluta offre quasi l'anonimato per i suoi detentori.
È facile cadere vittime del malware dei minatori di criptovalute poiché vengono rilasciati dal software trovato nella parte superiore dei risultati di ricerca di Google per le applicazioni legittimate. Se sospetti che il tuo PC sia infetto, i dettagli su come ripristinare la tua macchina infetta possono farlo si trovano alla fine del rapporto CPR.
Fonte: https://cryptoslate.com/crypto-miner-malware-impersonates-google-translate-desktop-other-legittimate-apps/