Вредоносного ПО, нацеленное на пользователей, которые ищут приложения Google, заразила тысячи компьютеров по всему миру для майнинга криптовалюты Monero (XMR).
Вы, наверное, никогда не слышали о Нитрокоде. В прошлом месяце израильская компания по киберразведке Check Point Research (CPR) наткнулась на вредоносное ПО.
В отчете, опубликованном в воскресенье, фирма сообщила, что Nitrokod изначально маскирует себя как бесплатное программное обеспечение, добившись значительного успеха в верхней части результатов поиска Google по запросу «загрузка Google Translate для настольных компьютеров».
Вредоносное ПО для майнинга, также известное как криптоджекинг, использовалось для проникновения на компьютеры ничего не подозревающих пользователей по крайней мере с 2017 года, когда они приобрели известность наряду с популярностью криптовалют.
CPR ранее обнаружил известную вредоносную программу для криптоджекинга CoinHive, которая также добывала XMR, в ноябре того же года. Сообщалось, что CoinHive крадет 65% общих ресурсов ЦП конечного пользователя без их ведома. Ученые подсчитали, что на пике вредоносное ПО приносило 250 000 долларов в месяц, причем основная его часть доставалась менее чем дюжине человек.
Что касается Nitrokod, CPR считает, что он был развернут тюркоязычной организацией где-то в 2019 году. Он проходит семь этапов, продвигаясь по своему пути, чтобы избежать обнаружения типичными антивирусными программами и средствами защиты системы.
«Вредоносное ПО легко удаляется из программного обеспечения, которое находится в топе результатов поиска Google для законных приложений», — говорится в отчете фирмы.
Softpedia и Uptodown оказались двумя основными источниками поддельных приложений. Blockworks связалась с Google, чтобы узнать больше о том, как она фильтрует такие угрозы.
Источник изображения: исследование Check Point.
После загрузки приложения установщик запускает дроппер с задержкой и постоянно обновляется при каждом перезапуске. На пятый день отложенный дроппер извлекает зашифрованный файл.
Затем файл инициирует заключительные этапы Nitrokod, которые включают планирование задач, очистку журналов и добавление исключений в антивирусные брандмауэры по прошествии 15 дней.
Наконец, вредоносное ПО для майнинга криптовалюты «powermanager.exe» тайно загружается на зараженную машину и начинает генерировать криптовалюту с помощью процессорного майнера XMRig с открытым исходным кодом на основе Monero (того же, что используется CoinHive).
«После первоначальной установки программного обеспечения злоумышленники задержали процесс заражения на несколько недель и удалили следы исходной установки», — говорится в отчете фирмы. «Это позволило кампании успешно работать незаметно в течение многих лет».
Подробности о том, как очистить машины, зараженные Nitrokod, можно найти в конце отчета об угрозах CPR.